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Stratégiai titkok őrzése 
— költséghatékonyan 


cáfolta, és rávilágított a védelem lehetsé- 


A legtöbben nem is sejtik, milyen furfangos módszerekkel 


próbálják egyesek megkaparintani a számítógépeken tárolt 


bizalmas adatokat. Az egyik ilyen eljárás a számítógépek ,le- 


hallgatása". Az árulkodó sugárzás megfékezésére eszelték ki 


a szakemberek az aktív lehallgatásvédelmet. 


ges módszereire is. 


Sugárzó adatok 


Nézzük, mit tehetünk, helyesebben: mi- 
kor mit érdemes tennünk. Az első teendő 
az önvizsgálat. Milyen védelemre van 
szükségünk, mekkora kockázatot vállalha- 
tunk? Vagyis van-e mérhető és nagy össze- 
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számítógépek 
elektromágneses 
kisugárzásán  ala- 


1 MHzítap] Uid.Bu 388 kHz 


gekben is kifejezhető ve- 
szélye annak, ha bizo- 
nyos adataink más kezébe 


18 dB 
[dBpAl 


puló lehallgatásról az el- 
ső, szakfolyóiratban kö- 
zölt elemzés (Computers 
§ Security 4/1985) nem 
váltott ki pánikot az üzleti 


szivárognak"? Ha erre a 
kérdésre igen a válasz, ak- 


kor tovább léphetünk. Va- 
lóban teljes-e informatikai 
és távközlési rendszerünk 


és a polgári életben annak 


védelme? Minden gazda- 


ellenére, hogy a szerző, 
Wim van Eck kristálytisz- 
tán bemutatta, milyen 
egyszerűen és olcsó esz- 
közökkel tulajdonítható el 


ságilag, állami és üzleti 


szempontból stratégiailag 
fontos területen indokolt a 
kockázatok, valós veszé- 
lyek számbavétele. 


ily módon az információ. 


Tegyük fel, hogy tökélete- 


Akkoriban a számítógé- 
pek elterjedtsége, az in- 


sen rejtjelezett formában 


tároljuk az adatainkat a 


formáció közvetlen gaz- 
dasági ereje meg sem kö- 
zelítette a mai szintet. A 


számítógépben vagy vala- 
milyen adathordozón, és 
ugyanígy küldjük el azo- 


biztonságot a hozzáférés 


kat publikus vagy bérelt 


és a továbbítás során al- 


távközlési csatornákon ke- 


kalmazott védelemmel ál- 
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resztül. De a képernyőn — 


teneo 
az ASH kikapcsolva . keptartalom 23 sor "at 


talában megoldottnak te- 


legyen az hagyományos, 


kintették. Ugyanakkor a 
katonai és stratégiai területeken már régóta 
a jelentőségének megfelelően kezelték az 
elektromágneses kisugárzás kockázatát és 
ennek hírszerzési alkalmasságát. 

A közvéleményben — a COCOM-hagyo- 
mányoknak megfelelően — erről a régóta 
stratégiai jelentőségű kérdésnek még a lé- 
tezéséről sem alakult ki elképzelés, nem 
volt illendő beszélni róla. Így lehetett ala- 
csony szinten tartani a lehallgatáshoz és a 
kivédéséhez szükséges eszközök és eljárá- 
sok ismeretét. Ugyanezt segítette elő né- 
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A monitorkábelen végzett mérések tanúsá- 
ga szerint az aktív lehallgatásvédelem ré- 
vén megfejthetetlenné válik a számítógép 
sugárzása 

hány tévhit intenzív terjesztése is — ami 
már más területeken is bevált. Ilyen tévhit 
volt például az, hogy a kisugárzott térből 
nagyon bonyolult feladat az adatokat re- 
konstruálni, ahhoz igen képzett személy- 
Zetre és nagyon fejlett érzékelő és dekódo- 
ló eszközökre van szükség. Az említett 
cikk ezeket a téveszméket már régen meg- 


LCD vagy plazma -— csak a 
nyílt információval tudunk dolgozni. A ki- 
jelzőt meghajtó elektronika úgy működik, 
mint egy tévéadó: a képalkotáshoz szüksé- 
ges jelek általában kiszivárognak, és elég 
erősek ahhoz, hogy jelentősebb távolság- 
ból felfogva is értékelhető információvá 
alakuljanak át. Mindehhez csak egy kissé 
módosított tévévevő, antenna és apró ki- 
egészítő elektronika szükségeltetik. 

Meg kell jegyeznünk itt, hogy természe- 
tesen készíthetők és készülnek is olyan 
számítógépek, amelyek nem bocsátanak 
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ki semmilyen mérhető, értékelhető sugár- 
zást. Ezek azonban , zajos" társaiknál 8- 
15-ször drágábbak, és nem egykönnyen 
szerezhetők be. 


Védett PC-k 


A legnagyobb számban alkalmazott sze- 
mélyi számítógépek és laptopok eredeti 
konstrukciójukban igen kevéssé védettek a 
lehallgatás ellen. Ennek oka abban rejlik, 
hogy az eszközökön belül, alapműködé- 
sükből adódóan olyan frekvenciák hasz- 
nálatosak, amelyek — vagy amelyek felhar- 
monikusai — a rádiófrekvenciás tartomány- 
ba esnek, ahol a jó terjedési viszonyoknak 
megfelelően a hagyományos vételtechni- 
kával detektálhatók. 

Igen cifra helyzet adódik, ha a modulá- 
ciós tulajdonságokat is figyelembe vesz- 
szük. Az egyes hardverelemeket ugyanis 
nem rádiós eszközökbe szánták, így azu- 
tán egyedi és eltéveszthetetlenül azonosít- 
ható eltéréseket mutat a kiszórt jelözön. A 
következmény az, hogy egy gépkupacból 
is minden további nélkül kiválasztható az 
érdekes tartalmú egyed, vagyis a lehallga- 
tás — megfelelő eszközök birtokában -— tel- 
jes mértékben szelektív lehet. 

A jól ismert amerikai FCC szabályozás 
15. szekciójában foglaltaknak megfelelő 
eszköz a kibocsátott szórt teljesítmény kor- 
átozási feltételeinek tesz eleget, viszont a 
spektrum, ha gyengébben is, de jelen van. 
Úgy tekinthetjük ezt a feltételrendszert, 
mint egy egészségügyi szempontok alap- 
ján bevezetett környezetszennyezési kor- 
látozást, amelynek azonban igen kevés 
öze van az informatikához. 

Vegyük sorra, milyen forrásokból szár- 
maznak gépünk rádiójelei. Az egyik legfon- 


tosabb ilyen forrás napjainkban a hálózat. 
Az Etherneten és más hálózati kábeleken 
továbbított jeleknek lehetnek rádiófrekven- 
ciás tartományba eső felharmonikusai is. A 
monitor és annak vezérlése hasonlóan erős 
forrás. A gépen belül, az órafrekvencia nö- 
vekedésével szintén megnő a lehallgatás 
szempontjából értékelhető jelek megjele- 
nésének a veszélye. Ugyanígy a drótnélküli 
egér, illetve billentyűzet kommunikációja is 
lehallgatható. Az egér kábele, az elektro- 
mos és adathálózat (ha nem jól árnyékolt) 
továbbvezeti a gépben keletkező jeleket, 
kedvező feltételeket teremtve a jel vezeté- 
ken keresztüli kinyeréséhez, ha például ,lé- 
gi" úton nem menne a lehallgatás. 


Aktív lehallgatásvédelem 


Az érdekeltek néha nem túl gyorsan 
mozdulnak. Ilyen az ATM (azaz bankjegy- 
kiadó) automaták esete. Néhány évvel ez- 
előtt egy skandináv országban végzett fel- 
mérés szerint az ATM-ekben elhelyezett 
PC-k kétharmada rendesen sugárzott. 

A védekezéshez háromféle — az alkal- 
mazás teherbírásától és a kockázattól füg- 
gő — módszer áll rendelkezésünkre. 

A TEMPEST szobák fémötvözetű szend- 
vicsszerkezetű falakból épített helységek, 
amelyek teljes mértékben védenek a lehall- 
gatás és az elektromágneses lökéshullám- 
mal való rombolás ellen is. A szobák az 1 
MHz és 30 GHz közötti tartományban leg- 
alább 60 dB, többnyire 85-110 dB csillapí- 
tást jelentenek a szórt sugárzással szemben. 
Ergonómiailag nem kellemes bennük dol- 
gozni, ráadásul a védelmi hatásuk nagyon 
könnyen lerombolható. Például elég egy 
szöget beverni a falba, és máris kiválóan 
sugárzó antennává változott a védett helyi- 


ség. Áruk miatt pedig csak különleges alkal- 
mazásokban játszhatnak szerepet. Néhány- 
szor 10 millió forint alatt nehezen úszható 


meg egy árnyékolt szoba megépítése. 

A sugárzásszegény konstrukciójú gépek 
az átlagosnál 8-15-ször kerülnek többe. 
Alkalmazásuk elsősorban katonai terüle- 
ten kézenfekvő. , Tökéletes" védelem úgy 
érhető el velük, ha a sugárzásszegény 
konstrukciót a harmadik megoldással, az 
aktív lehallgatásvédelemmel kombinálják. 

Az aktív lehallgatásvédelem szellemes 
és igazán költséghatékony megoldás. Egy 
detektor felfogja az adott PC által kibocsá- 
tott jeleket, azokat — a titkosításnál hasz- 
nált rejtjelezéshez hasonlóan — összeke- 
verve fehér zajt bocsát ki, ezzel elfedi a je- 
lek egy részét és csökkenti az azok re- 
konstruálásához szükséges vezérlőjelek ki- 
nyerésének lehetőségét. Antennaként az 
elektromos vezetéket használja, és igen kis 
kibocsátott teljesítménnyel — dolgozik, 
amely nem befolyásolja a többi egység 
működését és az egészségügyi feltételeket 
is teljesíti. 

A módszer hatékonyságát egy mérés 
eredményével szemléltetjük, amely a mé- 
rőszobában és a monitorkábelre csatlakoz- 
tatott igen érzékeny műszerrel történt. Ez a 
lehallgatás abszolút ideális esete: zavar- 
mentes térben a szórt jelforrás közvetlen 
közelében érzékelve mérni. Látható, hogy 
a készülék bekapcsolásakor nincsenek ér- 
tékelhető szikronjelek. Ennek a megoldás- 
nak a legvonzóbb tulajdonsága a készülék 
ára, amely hozzávetőleg megegyezik egy 
jobb PC-ével. Nem véletlen, hogy a pénz- 
ügyi és üzleti életben egyre többen alkal- 
mazzák az aktív lehallgatásvédelmet. 

Hecks Ferenc 
hecksXoaxelero.hu 


Egyszerűbb rendelés 


RENDELJEN 


Elektronikus aláírás 


z elektronikus aláírási és hitelesíté- 
A: folyamatot számos potenciális 

veszély fenyegeti. Cikkünkben a fő 
hangsúlyt a használatra helyezzük: meg- 
vizsgáljuk azoknak a hardver- és szoftver- 
rendszereknek a biztonsági problémáit, 
amelyeket az elektronikus aláírás létreho- 
zásában és ellenőrzésében használunk. 
Ugyanakkor nem foglalkozunk az olyan 
fenyegetésekkel, mint 

- a nyilvános kulcsú algoritmus okozta 
támadás: megfelelően nagy számítási ka- 
pacitással a leggyakrabban használt RSA 
algoritmus is visszafejthető. 

- az ujjlenyomatot készítő Hash algorit- 
mus okozta támadás: megfelelően nagy 
számítási kapacitással olyan dokumentum 
generálható, amely létező ujjlenyomathoz 
tartozik. 

- az elektronikus aláírásról szóló törvény 
által megvalósított hitelesítési eljárás okoz- 
ta támadás: a törvény által megszabott el- 
járás garantálja, hogy a nyilvános kulcsú 
algoritmus titkos kulcsa valóban az aláíró- 
nak vélt személy birtokában van. 


Elektronikus vagy 
papíralapú aláírás 

Az aláírás létrehozásakor két alapvető 
szempontot kell figyelembe venni: egyfe- 
lől az aláírónak pontosan tudnia kell, hogy 
mit ír alá, másfelől biztosnak kell lennie 
abban, hogy azt és csakis azt írja alá, amit 
szeretne. Nézzük, hogyan teljesülnek ezek 


Hamis a baba 


Az elektronikus aláírásról szóló törvény jogi oldaláról közelíti 


meg említett problémakört, s minimális mértékben 


foglalkozik a biztonsági kérdésekkel. Sajnos a gyakorlatban 


számos olyan eszköz és eljárás létezik, amelyek súlyos 


biztonsági problémákat vetnek fel az elektronikus aláírás 


vonatkozásában. 


HAGYOMÁNYOS ALÁÍRÁS 


ELEKTRONIKUS ALÁÍRÁS 


1. Papíralapú és elektronikus aláírás 


a szempontok a papíralapú, illetve az 
elektronikus aláírás esetében. 

Ha egy papír alapú szerződést szeret- 
nénk ellátni az aláírásunkkal, pontosan 
tudjuk, hogy mit írunk alá. Csak el kell 
hinnünk a szemünknek, amit a papíron lá- 
tunk. Ha viszont elektronikusan szeret- 
nénk elhelyezni az aláírást a dokumentu- 


Az elektronikus aláírás folyamata 


Az elektronikus aláírás létrehozása, il- 
letve a létező elektronikus aláírás ellen- 
őrzése/elfogadása a következő lépések- 
ben történik: 

KI Első lépésben a küldő eszközén elő- 
áll az aláírandó dokumentum. 

I Az aláírandó dokumentum bináris 
kódsorozatából elkészül a dokumen- 
tumra egyedileg jellemző ujjlenyo- 
mat. Ez az eljárás Hash algoritmusok 
segítségével valósítható meg, ame- 
lyek lényege az, hogy az ujjlenyo- 
matból csak nagyon , nehezen" lehet 
előállítani az eredeti dokumentumot. 

Hi Az ujjlenyomatot valamely nyilvános 
kulcsú algoritmus kulcspárjának tit- 
kos részével titkosítjuk. Az így előálló 
kódsorozat a dokumentumhoz ren- 
delt digitális vagy elektronikus aláírás. 
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I A küldő ezt követően a dokumentu- 
mot és a hozzá rendelt digitális alá- 
írást továbbítja. 

HI A fogadó megkapja a dokumentu- 
mot és a digitális aláírást. 

IB A dokumentumból ugyanazzal a 
Hash algoritmussal, amelyet a küldő 
is használ, előállítja a dokumentum- 
hoz rendelt ujjlenyomatot. 

Előállítja továbbá a digitális aláírás- 
ból a küldő nyilvános kulcsának fel- 
használásával a digitális aláíráshoz 
rendelt ujjlenyomatot. 

H Abban az esetben, ha a két ujjlenyo- 
mat megegyezik, a fogadó biztos le- 
het abban, hogy az elektronikus alá- 
írás az ellenőrzéshez felhasznált 
nyilvános kulcs titkos párjával ké- 
szült. 


mon, akkor el kell hinnünk a szemünknek, 
hogy azt látjuk és értjük, ami a monitoron 
vagy nyomtatásban megjelenik. El! kell 
hinnünk továbbá, hogy ami megjelent, an- 
nak pontosan az az értelme, amit a háttér- 
tár adott állományának bitsorozata jelké- 
pez. Végül el kell hinnünk, hogy az aláírás 
létrehozásával csak és kizárólag az álta- 
lunk aláírni szándékozott állomány bitso- 
rozatához képződik az aláírás. A szemé- 
nek általában minden értelmes ember 
hisz, így a továbbiakban csak az utóbbi 
két problémával foglalkozunk. 


Bitsorozat megjelenítése 


Alapvető elvárás a dokumentummal 
szemben, hogy az minden olyan informá- 
ciót tartalmazzon, amely a dokumentum 
értelmezéséhez, illetve megjelenítéséhez 


2. Eredeti dokumentum 
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szükséges. Ha ugyanis bármilyen máshon- 
nan vett információ is szükséges az értel- 
mezéshez, befolyásolni lehet a dokumen- 
tum megjelenített képét. Tipikusan ilyen 
információ a karakterek képe. A dokumen- 
tum — (készüljön az  Worddel vagy 
StarOffice-szal) nem tartalmazza azokat a 
betűtípusokat, amelyek ahhoz szüksége- 
sek, hogy a dokumentum képét megjele- 
nítsük. Így a betűtípusok változtatásával el- 


ÁTVÉTELI ELSMERVÉNY 
1! . 


19. elhapetorn, hogy a mal napon 24 
oraet vettem, 


Puapo, 3002. mignaítos 14. 


3. A betűtípus módosítását követően meg- 
jelenített dokumentum 


érhető, hogy ugyanannak a dokumentum- 
nak a megjelenített képe más és más le- 
gyen. Sajnos ugyanez a helyzet az ASCII 
szövegállományokkal is. Jóllehet itt nin- 
csenek betűtípusok, de a megjelenítéshez 
ismernünk kell a karakterek képét. Ez pe- 
dig a dokumentumon (a szöveg bitsoroza- 
tán) kívüli információ, amelyet az ASCII 
szabvány rögzít. Ahhoz tehát, hogy bizto- 
sítsuk a dokumentum és a megjelenített 
kép közti egyértelműséget elengedhetet- 
len, hogy a dokumentum magában foglal- 
ja a karakterek bináris képét. 

Felvetődik itt a kérdés, hogy milyen le- 
hetőségei vannak egy támadónak, hogy ki- 
aknázza ezt a biztonsági hézagot. Megte- 
heti például, hogy egy kisalkalmazással 
felcseréli a betűk képét valamely betűtí- 
pusban. Számos letölthető freeware prog- 
ram létezik erre a célra az interneten. A 
betűk felcserélését elérheti egy saját készí- 
tésű kis programmal is. Ezt a kis programot 
akár bejuttathatja egy e-mail elküldésével 
IS. 

Megállapíthatjuk tehát, hogy a rosszin- 
dulatú támadó könnyedén megteheti azt 
(különösen akkor, ha a partnere nem ért az 
informatikai biztonsághoz), hogy a partner 
számítógépébe bejuttat valamilyen progra- 
mot, amelyik azután gondoskodik arról, 
hogy az aláíró ne azt lássa a képernyőn, 
amit aláír. Megteheti azt is, hogy az alá- 
írást követően (adott időpontban) teljesen 
kiirtja magát a laikus számítógépéről. Ezt 
követően a laikus felhasználó hiába pró- 
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bálná bizonyítani az igazát, az elektroni- 
kus aláírás a törvény szerint a bíróság előtt 
bizonyító erejű. 


Bitsorozat aláírása 


Amennyiben pontosan tudjuk, hogy mit 
szeretnénk aláírni (vagy legalábbis 
elhisszük azt), elláthatjuk a dokumentu- 
mot elektronikus aláírásunkkal. Ahhoz, 
hogy ezt megtegyük, aláírás-létrehozó esz- 
közre van szükségünk. Az aláírás-létreho- 
zó eszköz mindenképpen tartalmaz szoft- 
verelemeket, és tartalmazhat hardverele- 
meket is. Az eszköz arról gondoskodik, 
hogy minden szükséges feltétel meglegyen 
a gépben, ha úgy döntünk, hogy aláírunk 
egy dokumentumot. Manuálisan nem tud- 
juk ellenőrizni, hogy valóban azt a bizo- 
nyos bitsorozatot látjuk-e el aláírással, 
amelyet szeretnénk, és abban sem lehe- 
tünk bizonyosak, hogy más bitsorozathoz 
nem készül-e aláírás. 

Tipikus támadási módszer a következő: 
a számítógépbe bejuttatott kis program fi- 
gyel egy olyan interaktív tevékenységet, 
amelyet a felhasználónak kell megtennie 
azután, hogy az aláíráshoz szükséges vala- 
mennyi feltételt teljesítette (például behe- 
lyezte a chipkártyáját az olvasóba). Az 
esemény hatására érzékeli, hogy a felhasz- 
nálói program milyen információkat küld 
aláírásra például a kártyaolvasónak. Ezt el- 
küldi az olvasónak és megvárja a választ, 
de nem továbbítja a felhasználói program- 
nak, hanem miután megkapta, elküld egy 
másik bitsorozatot az olvasónak aláírásra. 
Ha ez megtörtént, csak azután küldi vissza 
az elsőként megkapott aláírt választ a fel- 
használói programnak. Az egész természe- 
tesen olyan gyorsan történhet, hogy a fel- 
használó semmit sem vesz észre. Sőt! Még 
azt is megteheti a ,bűnös kis program", 
hogy az e-mail vírusok többségéhez ha- 
sonlóan a saját SMTP rutinjával visszakül- 
di az aláírt bitsorozatot a támadónak. Így a 
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4. Eredeti betűtípus 


Egy dokumentum — 
két megjelenítés 


A példa kedvéért egy dokumentu- 
mot készítettünk, majd írásvédett 
flopilemezre írtuk (2. ábra). Az eredeti 
betűtípust (4. ábra) egy kicsit módosí- 
tottuk: a ,6"-os karakter képét a ,,7"-es 
karakter képére, míg az ,A" karakter 
képét az ,É" karakter képére másoltuk 
néhány kattintással (5. ábra). Ezt köve- 
tően ismét megnyitottuk az írásvédett 
flopilemezre mentett dokumentumot 
(3. ábra). A megjelenített dokumentum 
már az új betűkkel jelent meg a képer- 
nyőn. 


támadó akár távolról is képes arra, hogy a 
célpont felhasználóval aláírattassa az álta- 
la elkészített dokumentum ujjlenyomatát. 


Konklúzió 


Az elmondottakból kitűnik, hogy ha az 
aláírás-létrehozó eszköz egy más célra is 
használt PC, akkor ez hatalmas biztonsági 
kockázatot jelent. Semmi gondot nem je- 
lent, ha egy zárt rendszerben célgépek 
csak meghatározott feladatot látnak el 


5. Módosított betűtípus 


(ilyenek például a bankautomaták). A fo- 
kozott biztonságú elektronikus aláírás a 
törvényi definíció alapján olyan elektroni- 
kus aláírás, amely többek között megfelel 
annak a kritériumnak, hogy ,olyan esz- 
közzel hozták létre, amely kizárólag az 
aláíró befolyása alatt áll". Sajnos nehezen 
képzelhető el, hogy a mai PC-s operációs 
rendszerek — ideértve a Linuxot is — kizáró- 
lag az aláíró befolyása alatt állnának. Szá- 
mos példát szolgáltatnak erre az operációs 
rendszerek biztonsági problémái, amelye- 
ket az elmúlt másfél évtized vírusai ki is 
használtak. 
P Dr. Leitold Ferenc 
Veszprog Kft. 
fleitoldoveszprog.hu 
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Kürt Rt. 


felhasználó rémálma: nem olvasha- 
tó a merevlemez, odaveszett egy 
gész havi munka, mert a mai meg- 


bízható meghajtók korában nem gondol- 
tunk tartalékmásolat-készítésre. Megfogad- 
juk, hogy ezentúl ötpercenként mentünk, 
csak történjen valami csoda. Aztán verej- 
tékben úszva felébredünk, gyorsan bekap- 
csoljuk a számítógépünket, és megnyug- 
vással tapasztaljuk, hogy ezúttal megúsz- 
tuk, mindez csupán egy rossz álom volt. 

Sajnos azonban sokan vannak, akik 
nem csak álmukban csöppenek ilyen hely- 
zetbe; velük próbál meg csodát tenni a 
Kürt Rt. (www.kurt.hu) csapata, amely 
1989 óta foglalkozik adatmentéssel. 


Bízzuk szakemberre 


Miután bekövetkezett a baj, még tovább 
ronthatunk a helyzeten, ha megfelelő is- 
meretek hiányában magunk kíséreljük 
meg kijavítani a hibát, például egy sokat 
ígérő shareware programmal. Mivel az 
adatvesztésnek igen sokféle oka lehet, ál- 
talános ellenszer nincsen, a leginkább 
eredményre vezető gyógymódot pedig 
csak szakember tudja megállapítani. A 
Kürtnél másolatot készítenek az adathor- 
dozóról, a mentési munkálatokat azon 
végzik, így további adatvesztést nem 
okozhatnak, mert bármikor vissza tudnak 
térni az alaphelyzethez. 

Mielőtt hozzálátnának az adatmentés- 
hez, állapotfelmérést végeznek a hozzájuk 
eljuttatott . adathordozón. Ennek során 
megállapítják, hogy van-e remény az ada- 
tok visszanyerésére, és a módszereikkel 
meg tudják-e valósítani azt. Az állapotfel- 
mérés nagytisztaságú laboratóriumban tör- 
ténik, a legnagyobb körültekintés mellett, 
annak érdekében, hogy további károsodás 
ne történhessen. 

Amennyiben lehetséges az adatmentés, 
és a felhasználó megrendeli azt, másolatot 
készítenek az adathordozóról. Erről nyerik 
vissza az adatállományokat, amelyeket 
azután egy másik adathordozón, többnyi- 
re CD-n juttatják el a megrendelőnek. Mi 
tagadás, megkérik az árát e nem minden- 
napi szolgáltatásnak, de hát ahogy monda- 
ni szokták, valamit valamiért. A szakvéle- 
mény ára például egy 8 gigabájtos merev- 
lemez esetében, 3 napos határidővel 30 
ezer forint, 24 órás határidőnél a sürgőssé- 
gi felár 50 százalék (áfa nélküli árak). Egy 
hajlékonylemez vizsgálatáért 3 ezer forin- 
tot kérnek. Az adatmentés költségét a 
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Moduláris 
adatvédelem 


Az informatikai biztonsági szolgáltatásokat kínáló Kürt Rt. 


bravúros adatmentéseivel alapozta meg hírnevét. A cég az 


eltelt időszakban az információbiztonság vezető hazai válla- 


latává nőtte ki magát, amely immár külföldön is sikereket ért 


el egyedülálló megoldásaival. 


probléma súlyossága, az adathordozó ka- 
pacitása és a mentés sürgőssége határozza 
meg, az átlagár 260 ezer forint körül van. 
Nagy kapacitású eszköz, nem merevleme- 
Zes tároló vagy különösen bonyolult prob- 
léma esetén az ár ettől jelentős mértékben 
eltérhet — többnyire felfelé. Adatmentés 
megrendelésekor az előzetes vizsgálat árát 
beszámítják. 

De nem csupán egy tárolóeszköz vagy 
más szoftver-, illetve hardverelem hibája 
okozhat hatalmas károkat egy informatikai 
rendszerben. Manapság, amikor a min- 
dennapi életet behálózza az informatika, 
és az egész világ egy gigantikus méretű 
számítógép-hálózatra csatlakozik, sokféle 
veszélynek vannak kitéve adataink. Egy ví- 
rus vagy egy illetéktelen behatolás teljesen 
megbéníthatja a nagymértékben az infor- 
matikai rendszerükre utalt vállalatok és 
kormányhivatalok életét. És ott vannak a 
mára hatalmasra duzzadt adatbázisok: a 
bennük tárolt információk illetéktelen ke- 
zekbe kerülése vagy megsemmisülése be- 
láthatatlan . következményekkel járhat. 
Nem vitás, hogy a fenyegetések ellen tenni 
kell valamit: biztonsági intézkedésekkel 
olyan állapotba hozni az informatikai 
rendszert, amelynél a kockázat elfogadha- 
tó szintre mérséklődik. 


Tervezett biztonság 


A Kürt Rt. válasza a kihívásokra az Infor- 
matikai Biztonsági Technológia (IBIT) ne- 
vű, moduláris felépítésű adatvédelmi rend- 


Az Informatikai Biztonsági Technológia el- 
méleti felépítése. Forrás: Kürt Rt. 


szer. Ez a kockázatelemzést tartalmazó 
megoldáscsomag adatvédelmi és adatbiz- 
tonsági szempontból, dokumentált módon 
szabályozza a vállalat teljes informatikai 
tevékenységét. Szabályzatrendszerének ki- 
dolgozásánál figyelembe vették az általá- 
nosan elfogadott nemzetközi szabványo- 
kat. Az IBIT rögzíti a felső vezetés elkötele- 
zettségét, tisztázza a felelősségi köröket, 
minimalizálja az emberi mulasztásból ere- 
dő károkat, és biztosítja a munkatársak fo- 
yamatos képzését. Bevezetése csökkenti a 
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karbantartások költségét, a rendszerkiesé- 
sek számát és idejét, továbbá javítja a ren- 
delkezésre állási időt. 

Az IBit felépítését a mellékelt ábrán lát- 
hatjuk. Az adatvédelmi modulok között ta- 
láljuk az adatintegritást biztosító megoldá- 
sokat, a mentési rendszert és a vírusellenes 
védelmet. Az információkhoz való illeték- 
telen hozzáférést akadályozzák meg az 
adatbiztonsági modulok. Ide tartoznak a fi- 
zikai biztonságtechnikai megoldások, a tit- 
kosítási funkciók, a behatolást megakadá- 
lyozó szolgáltatások és a rendszerhez való 
hozzáférést szabályozó megoldások. Az IT 
rendszer folyamatok és az IT szervezeti fo- 
lyamatok csoportba sorolt modulok nem 
tartoznak a biztonsági szolgáltatások közé, 
ha telepítésre kerülnek, ezek biztosítják a 
teljes informatikai rendszer átfogó szabá- 
lyozását. 

Az Audit előkészítés moduljai teszik le- 
hetővé a független informatikai auditok el- 
készítését. A kockázatelemzés során meg- 
határozzák azt a biztonsági szintet, amely 
alatt érdemes megszüntetni a kockázato- 
kat. A biztonsági szint feletti kockázatok 
bekövetkezését nevezzük katasztrófának, 
ennek a szabályozott kezelését biztosítja a 
katasztrófa elhárítási terv, amely minimali- 
zálja a károkat és csökkenti a helyreállítás 
idejét. A keret az IBit moduljainak műkö- 
déséhez szükséges váz, amely attól függő- 
en változik, hogy milyen funkciókat ren- 
delnek meg. 

Az IBit-hez dokumentumrendszer ké- 
szül, amely iránymutatást ad a megrende- 
lő cég informatikai rendszerének és infor- 
matikai szervezetének továbbfejlesztésé- 
hez és szabályozásához. A dokumentum- 
rendszer felülvizsgálatát "meghatározott 
időközönként külső szakértő bevonásával 
kell elvégezni. 


Veszélytelen próba 


Komoly segítséget nyújt a rendszergaz- 
dáknak a Kürt Rt. szimulátora, amelyben 
kockázatmentesen tesztelhetik cégük in- 


A merevlemez szétszerelését érdemes gya- 
korlott szakemberekre bízni 
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Néhány szó a kockázatelemzésről 


Hazánkban is egyre nő a cégek és 
szervezetek informatikai függősége, ami 
előtérbe helyezi a biztonságos informati- 
kai rendszerek megteremtésének a kér- 
dését. Ennek egyik legfontosabb terüle- 
te az informatikai kockázatelemzés. A 
kockázati tényezők teljes kiküszöbölése 
drága, és a tényezők sokrétűsége miatt 
nem mindig lehetséges. Olyan megol- 
dásra van tehát szükség, amely a kocká- 
zati tényezők azonosításával, hatásuk 
felmérésével adja meg az elfogadható 
költségű megoldást. A különböző szer- 
vezeteknek saját biztonságuk érdekében 
tisztában kell lenniük informatikai rend- 
szereik gyenge pontjaival, kockázataival, 
valamint azzal, hogy miként és milyen 
biztonsági intézkedésekkel tudják mér- 
sékelni ezeket. 

A kockázat annak a veszélye, hogy 
egy esemény vagy intézkedés hátrányo- 
san befolyásolja a szervezet lehetősége- 
it üzleti céljainak és stratégiáinak megva- 
lósítása során. A kockázatkezelés célja 
olyan optimális kockázatkezelési szint 
meghatározása, mely szinten a felmért 
és kezelt kockázati tényezők az üzleti fo- 
Iyamatokat csak az előre meghatározott 
mértékben befolyásolják. 

Informatikai kockázatkezelésről akkor 
beszélhetünk, ha egy cég tudatos erőfe- 
szítéseket tesz az informatikai rendsze- 
rét, infrastruktúráját és az ezt üzemelte- 
tő szervezetet fenyegető kockázatok 
rendszeres azonosítására és értékelésé- 
re, valamint az ehhez kapcsolódó kocká- 
zatcsökkentő intézkedések kidolgozásá- 
ra és megvalósítására. 

A megvalósítás módja és mélysége 
szerint két kockázatelemzési módszer — 
a kvalitatív (minőségi) és a kvantitatív 
(mennyiségi) - ismeretes. A kvalitatív 
technika nem valószínűségeket, bizton- 
sági mérőszámokat ad, hanem kockázati 
szinteket állapít meg, és ezzel viszonylag 


formatikai rendszerét. Megvizsgálhatják 
például, hogy megfelelően működik-e a 
vírusellenes védelmük, mennyire ellenálló 
a hálózatuk a külső támadásokkal szem- 
ben, vagy új szoftverek üzembe állítása 
milyen nem várt következményekkel jár- 
hat. A szimulátorban tetszőleges PC-alapú 
hálózati környezet állítható össze és tesz- 
telhető úgy, hogy nem kerülnek veszélybe 
az eredeti rendszerben található erőforrá- 
sok, információk. 


durva mérést tesz lehetővé. A kvantitatív 
elemzés lényegesen finomabb felbontá- 
sú, számszerűsíti a kockázati valószínű- 
ségeket, és az észlelt adatokat a model- 
lezési technikák alkalmazásával statiszti- 
kailag elemzi. 

A megvalósítandó védelmi intézkedé- 
sek meghatározásához, rangsorolásához 
és ütemezéséhez részletes és számsze- 
rűsített kiindulási információkra van szük- 
ség. Ezek az információk jelentik az alap- 
ját a költséghatékonyság-elemzéseknek, 
amelyek segítségével a felső vezetés 
számára indokolható egy-egy tervezett 
informatikai biztonsági beruházás vagy 
fejlesztés szükségessége. A sokkal hasz- 
nálhatóbb eredményt adó kvantitatív 
elemzés bonyolultabb, több időt és ráfor- 
dítást igényel. A döntéshozóknak azon- 
ban minden olyan esetben, amikor ez le- 
hetséges, a kvantitatív kockázatelemzés 
megvalósítására kell törekedniük, még 
akkor is, ha a rövid távú gazdaságossági 
szempontok ennek az ellenkezőjét su- 
gallják. Míg Nyugat-Európában és Észak- 
Amerikában fokozatosan előtérbe kerül a 
kvantitatív módszer, addig Magyarorszá- 
gon még a kvalitatív elemzés az elterjed- 
tebb. Hazánkban még nagyon kevés az 
olyan, megfelelő szakértelemmel felvér- 
tezett szakértő, aki képes eredményesen 
végrehajtani egy kvantitatív elemzést. Ez 
pedig oda vezethet, hogy a sikertelen 
próbálkozásokból tévesen arra következ- 
tetnek a döntéshozók, hogy a kvantitatív 
módszernek nincs értelme és nem is va- 
lósítható meg. 

A kvantitatív kockázatelemzés a stra- 
tégiai tervezés eszköze, így ráfordításai 
is csak hosszabb távon térülnek meg. 
Azonban e módszer alkalmazása már 
kezdetben is olyan értékes többletinfor- 
mációkhoz segíti a döntéshozókat, ame- 
lyek a kvalitatív elemzésekből nem nyer- 
hetők ki. 


A Kürt Rt. egyébként eddigi legnagyobb 
volumenű adatmentési esetét oldotta meg 
nemrég, amikor egy több mint 1 terabájt 
(1000 gigabájt) összkapacitású német RAID 
rendszer adatait állította helyre. Ekkora táro- 
lóeszköz hozzávetőleg 500 millió A4-es ol- 
dalnyi szöveget képes tárolni, s ha a lapokat 
egymásra tennénk, a Mount Everestnél há- 
romszor magasabb papírtornyot kapnánk. 
Ekkora hely 5 és fél millió digitális fotó táro- 
lására is elegendő. M.Cs. 
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Rejtjelezés a távközlésben 


Óriás titkosító 


A távközlés titkosítására kü- 
lönleges eszközöket fejlesz- 
tettek ki az idők folyamán. A 
svéd Business Security cég 
az úgynevezett óriás rejtjele- 
ző kulcsokkal oldja meg az 
adatok titkosítását. Alábbi 
cikkünkben a cég termékei 


közül mutatunk be néhányat. 


távközlés titkosításában különleges 
A: töltenek be az óriás rejtje- 

lező kulcsokkal dolgozó hardver- 
eszközök, amelyek alkalmazásával jelen- 
tősen csökkenthető a kulcsmenedzsment 
költség- és komplexitásigénye. Írásunkban 
az egyik ilyen, itthon is széles körben is- 
mert és elterjedt megoldást — a svéd Busi- 
ness Security AB portfoliójának főbb ele- 
meit — mutatjuk be. A szabotázs-védett 
konstrukciójú család tagjai valamennyien 
a gyártó cég saját, szabadalmazott, SBLH 
algoritmus- és kulcskezelő rendszerén ala- 
pulnak. Az algoritmus konkrét megvalósí- 
tása történhet a vevő óhaja szerint, amint 
ez például nem ritka a katonai célú export- 
nál. A Business Security termékei a mai 


kulcsok 


-J  ritmusnál alkalmazható a 


minél nagyobb hatékony- 
ság elérésére. 

A kulcsméret, a hibaterje- 
dés és az önszinkronizá- 
ció létrejötte — utóbbi 
csak a visszacsatolást al- 
kalmazó eljárások sajátja 
-— a dekóderek mélységé- 
vel (méretével) befolyá- 
solható. Ez is jól mutatja a 


3. Az SBLH algoritmus felépítése 


kor technológiai színvonalán és a távköz- 
lés új eljárásaihoz illeszkedve, a hagyomá- 
nyosan kiváló svéd ergonómiával valósít- 
ják meg az információvédelmet. 


SBLH algoritmus 


Az SBLH algoritmus úgy definiálható, 
mint egy szimmetrikus, bitfolyamos algo- 
ritmus, amely a titkosított információ visz- 

szacsatolásával dolgozik, 


Plaintext 


Ciphertext a titkosított blokk hossza 


Pr. P2.Pa. 


egy bit. A visszacsatolás 
biztosítja az önszinkroni- 
zálási képességet, az egy 
bites csomaghossz pedig 
azt, hogy gyakorlatilag 
nincs olyan távközlési 


€4.C2. Cs. 


Key 


technológia, amelynek a 
sebessége kezelhetetlen 


1. Az SBLH kódolás sémája 


lenne az SBLH algoritmus 
számára. 
Az 1. ábrán a kódoló, a 2. 


Ciphertext 


a. ábrán pedig a dekódoló 


Cy. Cgy Cyr 


SBLH 


Overiay 


050 Oz, Oz vsz 


Haha ső folyamat sémája szemlél- 
teti, hogy az alapot az 
XOR függvény adja. Az 
SBLH struktúrája teljesen 
egyedi, egyszerű és mégis 
erőteljes. A 3. ábrán látha- 
tó, két memóriatömböt és 
két dekódert tartalmazó 


2. Az SBLH dekódoló sémája 
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blokkvázlat igen sok algo- 


cégnek azt a korai felis- 
merését, hogy nem a táv- 
közlést kell a-titkosítási el- 
járáshoz igazítani, hanem a távközlési 
szabványoknak mindenben eleget tevő 
megoldást kell alkalmazni a védelemre. 

A jelenlegi megoldások 256 bites valódi 
véletlenszám kulcsból indulnak ki, amelyet 
a szintén hardverben megvalósított expan- 
ziós algoritmus tölt MI és M2-be. Az így 
előállított aktív kulcs a jelenlegi megoldá- 
soknál hozzávetőleg 131 ezer bit. Az ex- 
panzió egyedi tulajdonságot ad az SBLH al- 
goritmusnak: a kulcshossz független az al- 
goritmustól. A teljes struktúra pedig szinte 
kínálja magát a nagy integráltsági fokú fél- 
vezető integrált áramköri megoldásra. A ki- 
induló 256 bites kulcs sokadmagával kön- 
nyen tárolható SmartCardon, ami néhány 
esetben, például a fax-, a hang- és néhány 
adatátviteli titkosító vagy azok egyes üzem- 
módjai esetében a végpontot kezelő sze- 
mélyhez is rendelheti a biztonságot. 

A kulcsmenedzsment SmartCardos meg- 
oldásával a készülékek előre programozott 
kivitelben is telepíthetők. Ilyenkor a biz- 
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tonsági referens központi helyen őrzi a kul- 
csokat. Amikor a távközlési rendszer felkí- 
nálja a hálózati kulcsmenedzsment lehető- 
ségét, mint például az ISDN esetében, ak- 
kor is van lehetőség közvetlen programo- 
zásra egy számítógép segítségével (a köz- 
ponti helyen). Mivel ebben az esetben 
nem haladnak kulcsinformációk a kommu- 
nikációs csatornán, ez utóbbi jelenti a tel- 
jes biztonság magasabb szintjét. Az algorit- 
musból következik az is, hogy nincs olyan 
alkalmazás, amelyet sebességi igénye mi- 
att nem lehet titkosítani vele, mivel a me- 
móriaszerkezetek a mindenkori digitális 
félvezető-technológiák leggyorsabb részei. 
(Arról persze lehet szó, hogy a költségek 
miatt nem érdemes megcsinálni.) 

Az SBLH algoritmus erős. A rá épülő ké- 
szülékek úgy válnak egyenszilárdságú biz- 
tonságot célzó megoldássá, hogy integrál- 
ják a fizikai és az elektromágneses táma- 
dás elleni védelmet magában az eszköz- 
ben és a kulcselosztás területén is. 

Az elmondottak után kézenfekvő, hogy 
egyedi, a vevő igényének, algoritmusának 
stb. megfelelő úgynevezett custom (azaz 
testreszabott) változat is szállítható. A kö- 
vetkezőkben néhány eszközt mutatunk be 
röviden. 


SecuriDistance 


A hordozható PC-k kétféle védelmet igé- 
nyelnek, hogy sem a bennük tárolt infor- 
mációhoz, sem a távközlési csatornán 


sávszélességű vagy csatornaszámú védett 
kapcsolattól a videokonferencián át az 
asztali készülékpáron zajló beszélgetések 
egyedi védelméig. Biztonsági szempont- 
ból lényeges tudnivaló, hogy a készülékek 
egyedileg és helyileg, PC-vel és a hálózat- 
ra csatlakozó Kulcs Menedzsment Köz- 
pont segítségével távolról is irányíthatók. A 
SecurilSsDN valamennyi ISDN rendszerrel 
kompatibilis (kép és alkalmazás: 6. és 7. 
ábra). 


SecuriWAN 


A helyi hálózatok nyilvános vagy bé- 
relt vonali összekapcsolása esetén védi 
az átviendő információt. Az eszközök 2 
Mbps sebességig dolgoznak, és X.25, va- 

lamint Frame Relay pro- 


ég élezszszszzere 


tokollok szerinti  inter- 
fésszel látták el őket. He- 
lyi vagy távoli kulcsel- 
osztás itt is lehetséges. 
Mint ismeretes, az előbb 
említett protokollok az 
internetes világ térhódí- 
tásával elveszítették 
amúgy is gyenge védel- 


8. 
elküldötthöz illetéktelenül ne férhessen 
hozzá senki. Erről gondoskodik a Securi- 
Distance. Az eszköznek két felhasználási 
területe van: két partner, illetve több sze- 
mély és cégük/intézményük hálózata kö- 
zötti kommunikáció. Az előbbi nem kíván 


példa a rendszergazda tá- 
voli beavatkozása (védet- 
ten) az általa felügyelt há- 
lózatba, vagy az utazó 
diplomaták, üzletemberek 
kommunikációja . cégük 
központi (mail) szerveré- 
vel. Az eszköz bármilyen 
tárcsázós kapcsolatnál al- 


magyarázatot, — utóbbira 
2-a 


kalmazható, így a GSM, 


az analóg és az ISDN vo- 
nalak esetében is. A sze- 
mélyhez kötött kódkul- 
csot ebben az esetben 
SmartCard tárolja (kép és 
alkalmazás: 4. és 5. ábra). 


SecurilSDN 


Az eszközkínálat lefedi a 
teljes ISDN palettát, az 
irodaházak közötti nagy 
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müket, mivel mióta kifej- 
lesztették az illesztőszoftvereket, a világ- 
hálóról is meg lehet szólítani a végpon- 
tokat. Ez indokolja, hogy érdemi védel- 
met léptessünk életbe (kép és alkalma- 
zás: 8. és 9. ábra). 

A teljesség kedvéért megemlítjük még a 
cég korábbról ismert eszközeit is, amelyek 
a világ sok országában, így itthon is álla- 
mi, katonai és vállalati referenciák sokasá- 


gát vonultatják fel. A SecuriFax fax-titkosí- 
tók, a SecuriVoice hangz-titkosító intelli- 
gens megoldása és az adatátvitel Securi- 
Crypto V.24A, V.245, V35/36, X.21, X.28, 
X.25, G703/704 protokollú, úgynevezett 


fekete dobozos védelmének eszközei 

SmartCardos kulcselosztással dolgoznak. 

Mindhárom eszközcsalád a SBLH algo- 

ritmus használatával kinál hatékony tit- 
kosítást. 

Hecks Ferenc 

hecksXaxelero.hu 
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Tűzfalak 


A világhálóra kapcsolódó 
számítógépünk szabad pré- 
dája a rosszindulatú behato- 
lóknak, különösen ha nap- 
hosszat lógunk a neten. Sze- 
rencsére az úgynevezett tűz- 
falprogramokkal hatékonyan 
megvédhetjük adatainkat. 
Cikkünkben az otthoni fel- 
használóknak szánt tűzfalak 


közül mutatunk be néhányat. 


z esélyt a behatolásra a Win- 
As épített hálózati szolgáltatá- 

ok, az állomány- és nyomtatómeg- 
osztás biztonsági lyukai adják. Ezek lehe- 
tővé teszik, hogy egy hálózaton belül má- 
sok számára is hozzáférhetővé váljanak 
erőforrásaink. . Amikor — azonban az 
internetre kapcsolódunk, olyanok is be- 
kukkanthatnak merevlemezünk tartalmá- 
ba, akiknek ezt semmi szín alatt nem 
óhajtjuk megengedni. 

Szkennelőprogramokkal mihaszna em- 
berek állandóan vizslatják a netet olyan 
számítógépek után kutatva, amelyek nem 
alkalmaznak védelmet a  behatolással 
szemben. Akik már telepítettek tűzfalat, ta- 
pasztalhatták, hogy szörfölés közben mi- 
lyen sokszor éri támadás gépüket, a prog- 
ram ugyanis minden kísérletet jelez. Minél 
több időt töltünk a neten, annál nagyobb a 
valószínűsége, hogy ránk találnak, és ha 
nem védjük magunkat egy tűzfallal, nem is 
fogjuk soha megtudni, hogy valaki kutako- 
dott a gépünkön. 

Persze nem csupán kívülről fenyegeti 
veszély a gépünket: egy trójai program 
vagy valami más rosszindulatú alkalmazás 
megkérdezésünk nélkül szolgáltathat in- 
formációkat megbízója számára. A jó tűz- 
fal ezt is megakadályozza. 


Hogyan működik? 
A tűzfal beépül a számítógép és az 


internet közé, teljesen elszigetelve őket 
egymástól. Minden egyes bejövő és kime- 
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Tűzfalak 


minden 


Port Saren Status Szeurtty Impiczttona 


"are is NO EVIDENCE WHATSOEVER that a port (or even any 
TA FTP Stmalthi compatar) ertets at this IP addronst 


Ni. There is NO EVIDENCE WHATSOEVER that a port (or even any 
72 Telnet Stmailth! computer) exists at this IP addroset 


ara is HO EVIDENCE WHATSOEVER that a port (or even any. 
25 SMTP Stnalthi computer) exlets at this IP addresst 

here is NO EVIDENCE WHATSOEVER that a port (or even any 
79 finger Stmalthi computer) ezists at this IP address 


here is NO EVIDENCE WHATSOEVER that a port (or even any 
10 torz Steafti computer) exists at this IP address 


, Tharo ia NO EVIDENCE WHATSOEVER that a port (or aron any. 
112 IDEMI Stnalthi! computer) exet at this IP addrosot 


"here iő NO EVIDENCE WHATSOEVER that a port (or even any 
195 RPC Stmaithi computer) exists at this IP addresst 


tet hero is NO EVIDENCE WHATSOEVER that a port (or even any 
139 Stealth! computer) emets at (hús 1? adórasst 


Tharo is NO EVIDENCE WHATSOEVER that a port (or even any. 
142 1MAB  Stmaithi computer) exists at this IP address! 


Thare iő MO EVIDENCE WHATSOEVER that a port (or even any 
449 MTTPS Stealth! computer) exists at this 1? addross! 


Egy, a külvilág számára láthatatlan számí- 
tógép teszteredménye a Shields Upnál 


nő adatcsomagot megvizsgál, majd hatá- 
roz az átengedésükről, illetve a blokkolá- 
sukról. Természetesen mindezt úgy valósít- 
ja meg, hogy a normál szörfölést nem teszi 
lehetetlenné folytonos akadékoskodással, 
a jogosulatlan behatolásra ugyanakkor 
mindig figyelmeztet. Arra is kapható, hogy 
meghatározott IP-címekről teljesen blok- 
kolja az adatforgalmat, illetve csak egy 
adott webkiszolgálóval engedélyezze a 
kapcsolat létesítését. 

Magától értetődően bármely tűzfal hasz- 
nálatának csak akkor van értelme, ha az 
minden biztonsági lyukat betöm, vagyis 
mindkét irányban megakadályoz minden- 
féle jogosulatlan adatforgalmat. A külső 
behatolásokkal szemben úgy nyújt védel- 
met, hogy a kapcsolódásra használatos 
portokat — és így magát az internetre kap- 
csolt számítógépet is — láthatatlanná teszi 
a külvilág számára. A belülről kifelé irá- 
nyuló adatátviteli próbálkozásokat pedig 
jelzi számunkra, és mi eldönthetjük, hogy 
mely programoknak engedélyezzük az 
adatforgalmazást (ezek közé tartozik pél- 
dául a webböngészőnk és a levelezőprog- 
ramunk). 


Vizsgálati módszer 


Az összeállításunkban bemutatott tűzfa- 
lak esetében nem csupán a telepítés, a 
konfigurálás és a használat egyszerűségét 
vizsgáltuk, hanem azt is, hogy szivárgás- 


kinek 


mentes védelmet nyújtanak-e. Ehhez a 
Shields Up nevű webhelyet (www.grc. 
com) vettük igénybe, amely biztonsági 
szempontból átfogóan teszteli gépünket. 
Még a tűzfal telepítése előtt érdemes ide 
ellátogatni, hogy lássuk, milyen nyitott be- 
hatolási lehetőségeket kínál gépünk. A 
Shields Up Test My Shields gombjára kat- 
tintva először is kiderül, hogy sikerül-e 
kapcsolatba lépni a számítógépünkkel. 
Amennyiben a Your Internet port 139 does 
not appear to exist! és az Unable to 
connect with NetBIOS to your computer 
válaszokat kapjuk, nincs okunk az aggo- 
dalomra. 

Ezek után a Probe My Ports gombbal 
vizsgáljuk meg az internetre való kapcso- 
lódáshoz használatos portok állapotát. Vá- 
laszként egy lista tűnik fel a képernyőn, a 
Status oszlopban olvashatjuk a vizsgálat 
eredményét. Ha egy port mellett a Stealth 
szó áll, a port nem észlelhető a külvilág 
számára, vagyis itt nem lehet betörni a 
rendszerbe. Az Open állapotban lévő port 
védtelen bejáratot jelent, hacsak nem 
olyan portról van szó, amelyen keresztül 
webkiszolgálót, FTP-szervert vagy postai 
kiszolgálót üzemeltetünk. Ha ilyen szol- 
gáltatásokat nem nyújtunk, gépünk akkor 
van a legnagyobb biztonságban, ha min- 
den portja Stealth állapotban van, ami más 
szóval azt jelenti, mintha a gép nem is lé- 
tezne. Egy port lehet még Close állapotban 
is, ekkor védett ugyan a behatolás ellen, 
de nem láthatatlan a külvilág számára. 

Azt, hogy egy tűzfal kimenő irányban is 
megfelelő védelmet nyújt-e, a Shields Up 
webhelyről letölthető leaktest.exe prog- 
rammal ellenőriztük. 


Blacklce PC Protection 3.5 


A 6 Mbájtos fájlméret robusztus progra- 
mot sejtet, s bár egy egyszerű kis ablak tű- 
nik fel a képernyőn, a menükben rengeteg 
beállítási lehetőségre bukkanunk. Mit sem 
ér azonban a sok cafrang, ha a védelem 
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komoly hiányosságokat mutat. Négy biz- 
tonsági szint közül választhatunk, de a 
tesztelés során még a legmagasabb szint 
beállításával sem tudtuk elérni, hogy gé- 
pünk teljesen láthatatlan legyen a külvilág 
számára. Telepítéskor a Blacklce alkalma- 
zásvédelem címén összegyűjti a merevle- 
mezünkön található valamennyi program- 
állományt, aminek az eredménye egy kilo- 
méteres lista. A listán szereplő programok- 
nál egyenként kell megtiltani, hogy kap- 
csolatba lépjenek az internettel. Ha ezt 
nem tesszük meg, a telepítéskor már a gé- 
pünkön lévő valamennyi program háborí- 
tatlanul küldözgethet adatokat a külvilág 
felé. Így természetesen a kimeriő oldali vé- 
delem tesztelésére használt leaktest.exe 
gond nélkül áthatolt a tűzfalon. A súgó ta- 
nulmányozásakor — kiderült, hogy a 
Blacklce külön utasítás hiányában csupán 
a telepítése után rendszerbe kerülő vagy 
megváltozó programokat blokkolja. Ami- 
kor azonban ilyennel próbálkoztunk, a vé- 
delem akkor sem működött. 


45 BlackICE PC Protection 


A hátbatámadások ellen sajnos nem nyújt 
védelmet a Blacklce PC Protection 


A letölthető program 30 napig használ- 
ható, utána fizetni kell érte, de a legjobban 
akkor járunk vele, ha egyáltalán nem tele- 
pítjük, mert az ismeretlen alkalmazások el- 
len nem nyújt védelmet. 


Internetcím: www.iss.net 


Norton Personal Firewall 
2002 4.0 


A Norton Personal Firewall része a 
Norton Internet Security csomagnak, de 
13 ezer forint körüli — áfa nélküli — áron 
külön is megvásárolható. A 16 Mbájtos, 30 
napig — használható  próbaváltozat a 
Symantec webhelyéről tölthető le. 

A program első futtatásakor egy varázsló 
vezet végig a konfigurálás lépésein. Mi ta- 
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Hortonpersonal Firewal[2002 


Tetszetős külső mögött profi szolgáltatá- 
sokat kínál a Norton Personal Firewall 


gadás, a beállítás némi odafigyelést és 
szakértelmet igényel, nem mennek olyan 
egyszerűen a dolgok, mint a ZoneAlarm- 
nál vagy a Tiny Personal Firewallnál. A 
konfiguráló varázsló később is használható 
a beállítások megváltoztatására, ha nem 
akarjuk a menürendszert igénybe venni. A 
Norton Personal Firewall átvizsgálja a me- 
revlemezünket olyan programok után ku- 
tatva, amelyeket internetezésre alkalmas- 
nak tart. Nem dolgozik valami jó hatásfok- 
kal, mert a kapott terjedelmes listán feltűn- 
nek az internettel nehezen kapcsolatba 
hozható alkalmazások is, szerencsére ezek 
gyorsan törölhetők. A listára később is fel- 
vehetünk programokat, és szabályozhatjuk 
internet-elérésük módját. Amikor egy új 
program először próbálja elérni a netet, a 
Norton megkérdezi, hogy engedélyezzük- 
e az adatátvitelt. Ha kívánjuk, a válaszun- 
kat elmenti, és emlékezni fog rá, valahány- 
szor a jövőben ez a program online műve- 
letbe kezd. 

A felhasználói felület jól áttekinthető, 
könnyedén megtalálhatók rajta a kívánt 
szolgáltatások. Háromféle biztonsági szint 
közül választhatunk egy tolókával, alap- 
helyzetben a legtöbb felhasználó számára 
megfelelő közepes védelem működik. Ez 
megakadályozza, hogy ismeretlen progra- 
mok adatot küldjenek az internetre, és fi- 
gyelmeztet, ha személyes információkat 
(név, cím, hitelkártya-szám) akarunk elkül- 
deni. 

Beállíthatjuk azt is, hogy a program mi- 
lyen mértékben informáljon minket a biz- 
tonsággal kapcsolatos eseményekről (itt is 
háromféle szint-közül választhatunk), pél- 
dául a behatolási kísérletekről. A védelmi 
rendszer tesztelésére saját weboldalát 
ajánlja a Symantec, ahová egy hivatkozás- 
ra kattintással juthatunk el. 

URL vagy IP-cím alapján lehetőségünk 
van olyan számítógépek megadására, 
amelyek korlátlanul hozzáférhetnek PC- 


nkhez. Ha ezekkel lépünk kapcsolatba, a 
tűzfal kiiktatja magát. Hasonlóképpen lét- 
rehozhatunk egy listát olyan gépekről, 
amelyekkel semmilyen körülmények kö- 
zött nem akarunk kommunikálni. Ide azo- 
kat a gépeket érdemes felvenni, amelyek 
korábban támadást intéztek ellenünk. 

A biztonsági teszteket kiváló eredmény- 
nyel abszolválta a Norton Personal 
Firewall, védelmét nem sikerült feltörni. 


Internetcím: vwww.symantec.hu 


Outpost Firewall 1.0 


A program különlegességét az adja, 
hogy bedolgozók (plug-inok) készíthetők 
hozzá, így bárki kiterjesztheti képességeit. 
Szolgáltatásai egy részét (így például a le- 
vélmelléklet-szűrést és a hirdetésblokko- 
lást) már most is bedolgozók valósítják 
meg. A Windows Intézőjére emlékeztető 
barátságos — programfelületen — könnyen 
megtalálhatók a szolgáltatások és a beállí- 
tási lehetőségek, akár a menüket, akár az 
eszköztárat használjuk. Szinte nem is kell 


Otthonosan mozoghatunk az Outpost Inté- 
ző-szerű felületén 


változtatni a biztonsági konfiguráción: az 
alapbeállítások a legtöbb felhasználó szá- 
mára úgy jók, ahogy vannak. Figyelemre 
méltók a testre szabási lehetőségek is: tág 
határok között változtatható, hogy a prog- 
ram milyen információkat jelenítsen meg 
az adatátvitelről, a behatolási kísérletekről, 
az átengedett és a blokkolt adatcsomagok- 
ról, a meglátogatott webhelyekről. 
Többnyelvű program lévén telepítéskor 
az angol mellett más nyelveket is felkínál. A 
magyar egyelőre nincs a lehetőségek között, 
ami azért különös, mert a gyártó web- 
helyéről egy pdf formátumú, magyar nyelvű 
dokumentáció is letölthető, amelynek a 
képernyő-illusztrációi magyar nyelvűek. 
Ötféle biztonsági szint közül választha- 
tunk, az internetezésre használt progra- 
mok pedig három kategóriába sorolhatók 


(megbízhatók, blokkoltak és szabály alap- 
ján szűrtek). A tesztelés során teljes védel- 
met nyújtó, 2,7 Mbájtos letöltési méretű 
Outpost használata ingyenes. 


Internetcím: www.agnitum.com 


Personal Firewall 1.0 


Egyszerű felépítésű program, szolgálta- 
tásai közvetlenül elérhetők az eszköztár- 
ról. Tesztjeink bizonysága szerint alapbe- 
állításai megbízható védelmet nyújtanak 
mindkét irányban. A szokásos három biz- 
tonsági szinthez — a teljes blokkoláshoz, a 
szabály alapú normál üzemmódhoz és a 
mindennemű . adatforgalom  átengedésé- 
hez - egy-egy közlekedési jelzőlámpa tar- 
tozik, így pofonegyszerű az átkapcsolás 
közöttük. Külön biztonsági beállításokat 
alkalmazhatunk az otthoni, az irodai és a 
mobil használatra, e profilok közül ugyan- 
csak ikonokra való kattintással választha- 
tunk. 

Telepítés után az 1,4 Mbájtos Personal 
Firewall biztonsági ellenőrzést hajt végre 
a gépünkön (ezt később bármikor megis- 
mételhetjük), az alkalmazások listájára 
felveszi azokat az internetezésre haszná- 
latos programokat, amelyeket a rendszer- 
ben talál, és a biztonságos működéshez 
szükséges szabályokat alkot hozzájuk. A 
további programokhoz való szabályalko- 


Egérkattintásokkal vezérelhető a Personal 
Firewall 


tás azonban eléggé macerás, és csak ta- 
pasztaltabb felhasználóknak ajánlott. Más 
személyi tűzfalaknál első futtatásukkor a 
programok egyszerűen felvehetők a listá- 
ra és gond nélkül alkotható hozzájuk sza- 
bály. 

30 napos kipróbálás után 30 dollárt kell 
fizetni a Personal  Firewallért. A 
ZoneAlarm és a Tiny Personal Firewall in- 
gyenes, és egyszerűbben konfigurálható. 


Internetcím: www.deerfield.com 
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Sygate Personal 
Firewall 5.0 


Hasonlóan a többi személyi tűzfalhoz, 
telepítése után azonnali védelmet nyújt. A 
programablakban grafikus állapotjelzők 
mutatják a hálózati forgalmat és a behato- 
lási kísérleteket. A menük jól szervezettek, 
gyorsan megtalálhatók bennük a szolgálta- 
tások. A tálcán lévő ikon jobbgombos me- 
nüjében ugyancsak elérhetők a legfonto- 
sabb lehetőségek. 


verhetetlen a 
Personal Firewall 


Naplózásban Sygate 


Háromféle biztonsági szintet kínál az 
otthoni használatra ingyenes Sygate Perso- 
nal Firewall: a teljes blokkolást, a minden- 
nemű forgalom átengedését és a normál 
üzemmódot. Amikor egy program először 
használja az internetet, felkerül az alkal- 
mazások listájára. Itt aztán számos körül- 
ményre kiterjedő szabályt alkothatunk arra 
vonatkozólag, hogy mit tehet meg a ké- 
sőbbiekben. Így például ütemezhetjük fu- 
tását, vagy korlátozhatjuk használatát bi- 
zonyos IP-címekre. 

Az eszköztáron található Test gomb a 
Sygate webhelyének tesztoldalára röpít 
minket, ahol gépünk minden lehetséges 
portját vizsgáló, több órán keresztül tartó 
próbáknak vethetjük alá védelmi rendsze- 
rünket. 

A program naplózási szolgáltatásai 
egyedülállóak. Részletesen regisztrálja a 
behatolási kísérleteket, az adatforgalmat és 
a konfiguráció változásait. Az adatokat 
többféle bontásban jeleníthetjük meg: az 
utolsó egy, két vagy három nap, az utolsó 
egy vagy két hét, vagy pedig az eltelt hó- 
nap szerint. 

A konfiguráló párbeszédablak jól átte- 
kinthető, bosszantó viszont, hogy egyes 
szolgáltatások  érvénytelenítve vannak, 
ezeket csak a 40 dollárért megvásárolható 


Pro változatban használhatjuk. A legtöbb 
felhasználónak azonban nincs is szüksége 
ezekre, és a 4,6 Mbájtos letöltési méretű 
ingyenes verzió — mint a tesztelés során ki- 
derült — is tökéletesen megvédi a gépünket 
a támadásoktól. 


Internetcím: www.sygate.com 


Tiny Personal Firewall 
2.0.15 


A WinRoute Pro biztonsági technológiá- 
ra épülő program felhasználói felülete en- 
nél egyszerűbb már nem is lehetne. Az ad- 
minisztrációs ablakot a tálcán lévő ikonra 
való kettős kattintással jeleníthetjük meg. 
Három biztonsági szint közül választha- 
tunk, ezek: a teljes blokkolás, az engedély- 
kérés minden adatmozgáshoz és az enge- 
délykérés nélküli működés. Az utolsó eset- 
ben minden olyan hálózati aktivitás enge- 
délyezett, amely nem ütközik az általunk 
korábban meghatározott szabályokba. 
Akár összetett szabályokat is egyszerűen 
hozhatunk létre egy világos felépítésű pár- 
beszédablakban. Lehetőségünk van példá- 
ul arra, hogy egy adott IP-címről érkező 
kéréseket visszautasítsuk. Az adminisztrá- 
ciós ablak használatát és a naplóállomány 
megtekintését jelszavas védelemmel lát- 
hatjuk el. 

Amikor nem engedélyezett adatmozgást 
észlel, a Tiny Personal Firewall egy 
riasztásablakot jelenít meg. Itt engedélyez- 
hetjük vagy visszautasíthatjuk a műveletet, 
illetve definiálhatunk hozzá egy szabályt, 
amely meghatározza, hogy a jövőben mi- 
ként viselkedjen a szóban forgó program. 

Az élő kapcsolatok nyomon követésére 
szolgál az"állapotablak, amelyet úgy hív- 
hatunk elő, hogy a jobb egérgombbal a 


Tiny Personal Firewall: puritán felület, ha- 
tékony védelem 
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program ikonjára kattintunk, majd a me- 
nüben a Firewall Status Window lehetősé- 
get választjuk. 

Ami a biztonságot illeti, az 1,4 Mbájtos 
Tiny Personal Firewall szivárgásmentes vé- 
delmet nyújt mindkét irányban. Otthoni 
felhasználók számára ingyenes. 


Internetcím; www.tinysoftware.com 


Xelios Personal 
Firewall 2.02 


A mindössze fél megabájtos letöltési 
méretű program felhasználói felülete egy 
többlapos párbeszédablak. A főlapon lát- 
hatjuk, hogy milyen IP-címen csatlako- 
zunk az internetre, és folyamatosan figye- 
lemmel kísérhetjük a beérkező és kimenő 
adatcsomagok számát, illetve azt, hogy 
ezek közül hányat blokkolt a program. Az 
Options lapon állíthatjuk be a működési 


Hiába a sok beépített szűrő, nem teljes a 
Xelios Personal Firewall védelme 


jellemzőket, többek között a jelszavas vé- 
delmet. Az Internet Filtering lapon talál- 
juk az alapértelmezésbeli adatszűrő sza- 
bályokat, és itt hozhatunk létre újabbakat. 

A biztonsági tesztelés két port esetében 
Close állapotot jelzett, ami azt jelenti, 
hogy a Xelios Personal Firewall megaka- 
dályozza az ezeken keresztüli behatolást, 
a gépünket viszont nem teszi láthatatlan- 
ná a külvilág számára. Valószínűleg 
olyan adatszűrő szabály is létrehozható, 
amely orvosolja a problémát, ez azonban 
egy személyi tűzfal használójától nem 
várható el. Ennél is nagyobb hiányossága 
a programnak, hogy az adatot küldő al- 
kalmazások ellenőrzését csak akkor vég- 
zi el, ha bejelöljük az Application 
Filtering ablak Application  Filtering 
Enabled lehetőségét. Vagyis amíg erre 
nem jövünk rá, bármelyik program bár- 
mit zavartalanul átküldhet a tűzfalon. Ez- 
után már szigorúan őrködik adataink fe- 
lett, és a listára felvett programok futási 


jellemzőit egyszerű  egérkattintásokkal 
módosíthatjuk. 

A Xelios Personal Firewallért a 30 napos 
kipróbálási időszak letelte után 32 dollár 
regisztrációs díjat kell fizetni. Emiatt, to- 
vábbá figyelembe véve hiányosságait, job- 
ban járunk az ingyenes programok vala- 
melyikével. 


Internetcím: www.xelios.com 


ZoneAlarm 2.6.362 


A közel 3 Mbájtos állomány telepítése 
gyerekjáték, a művelet végén egy hétlépé- 
ses, lényegre törő oktatóprogram ismertet 
meg minket a ZoneAlarm használatával. A 
telepítés után azonnal a legmagasabb 
szintű védelmet nyújtja (ez az alapbeállí- 
tás), a jól áttekinthető konfiguráló ablak a 
tálcán helyet kapó ikonra való kétszeri kat- 
tintással jeleníthető meg. 

A Configure gombbal előhívható beállí- 
tólapon írhatjuk elő, hogy a program 
rendszerindításkor . automatikusan  elin- 
duljon-e vagy sem (célszerű az előbbi le- 
hetőséget választani, így gépünk mindig 
védelem alatt áll majd). Az Alerts lapon 
tekinthetjük meg a legutóbbi riasztásokat, 
és itt adhatjuk meg, hogy a program nap- 
lóállományba mentse-e a riasztásokat, va- 
lamint azt, hogy behatolási kísérlet esetén 
jelenjen-e meg üzenet a képernyőn. A 
Security ablakban tekinthetjük meg a biz- 
tonsági beállítások szintjét, és engedé- 
lyezhetjük az e-mail mellékletek vizsgála- 
tát. 

A Lock lap szolgál a blokkolási beállítá- 
sok megadására. Előírhatjuk itt, hogy a 
program bizonyos idő eltelte után vagy a 


ZoneAlarm 


Egyszerű kezelhetőséggel és tökéletes biz- 
tonsággal büszkélkedhet a ZoneAlarm 


képernyőkímélő elindulásakor blokkolja 
az internetforgalmat. Beállíthatunk teljes 
vagy a részleges blokkolást, az utóbbi 
esetben azok a programok férhetnek hoz- 
zá a nethez, amelyeknél a Programs ab- 
lakban engedélyeztük a Pass Lock lehető- 
séget. A Programs ablakban tekinthetjük 
meg az internet-elérésre használt progra- 


mok listáját is, amelybe akkor kerül be 
egy program, amikor a ZoneAlarm telepí- 
tése után először futtatjuk. Egy program 
engedéllyel vagy engedély nélkül csatla- 
kozhat az internetre, az előbbi esetben 
minden futtatáskor megerősítést kér a 
ZoneAlarm. 

Az internet teljes blokkolása a lakatot 
ábrázoló ikonra való kattintással is elvé- 
gezhető, az internet-elérés azonnali leállí- 
tása vészhelyzetben pedig a Stop feliratú 
gombra kattintással tehető meg. A 
ZoneAlarm részletes súgója nem csupán a 
program használatát és az alkalmazott 
technológiát ismerteti, hanem bevezeti az 
olvasót az internet titkaiba is. 

A tesztelés során a ZoneAlarm teljes vé- 
delmet nyújtott mind a bejövő, mind a ki- 
menő próbálkozásokkal szemben. Otthoni 
használatra a program ingyenes, egyéb- 
ként 20 dollár a regisztrációs díja. 


Internetcím: www.zonealarm.com 
3 
Értékelés 


Egy otthoni használatra szánt személyi 
tűzfaltól azt várjuk el, hogy minél keve- 
sebbe kerüljön, különösebb  állítgatás 
nélkül, már alaphelyzetben teljes védel- 
met nyújtson, és az internetet használó 
alkalmazások konfigurálása egyszerű le- 
gyen. 

Az otthoni felhasználók számára ingye- 
nes ZoneAlarm telepítése után azonnal át- 
hatolhatatlan pajzsot képez gépünk köré, 
és ha mégis szükséges valamit beállíta- 
nunk, azt egyszerűen megtehetjük a jól át- 
tekinthető felhasználói felületen. Ugyan- 
csak teljes védelmet nyújt és ingyenes a 
puritán felületű Tiny Personal Firewall, a 
naplózásban kiemelkedő Sygate Personal 
Firewall és a Windows Intézőre hasonlító 
Outpost. 

A Norton Personal Firewall 2002 a ne- 
ves fejlesztőtől megszokott kiváló minősé- 
get nyújtja, akinek azonban nincs szüksé- 
ge a többletszolgáltatásokra, csupán meg- 
bízható védelemre vágyik, jobban jár a 
ZoneAlarmmal vagy a többi ingyenes tűz- 
fal valamelyikével. 

A hiányos védelmű Blacklce PC 
Protection, valamint a nem túl egyszerűen 
konfigurálható Personal Firewall és Xelios 
Personal Firewall nem érik meg a regiszt- 
rációs költséget, ingyen sokkal jobb tűzfa- 
lakhoz juthatunk. 


Mészáros Csaba 


$un Liberty Alliance 


UNIX úgynevezett nyílt kulcsokat 
Asz ami azt jelenti, hogy a 

rendszer bármely részét működte- 
tő programrészletek (szkriptek) bárki szá- 
mára hozzáférhetők. A UNIX-programban 
nincs fekete doboz, az egyes folyamatok 
teljes mértékben áttekinthetők, a logikus 
szintrendszerben egy helyről állítható be 
minden paraméter, ellentétben például a 
Windows-zal, amelyben az egyes funkci- 
ók egészen más helyekről állíthatók be. 

A UNIX biztonsági alapelvei indulásától 
a mai napig mit sem változtak, működési 
elve a jogosultságok rendszerén alapul, 
amelyet úgy alakítottak ki, hogy abban 
gyakorlatilag nem lehet kárt tenni. Termé- 
szetesen a szoftver ,agyához", a roothoz — 
különféle beállítási hibák vagy emberi mu- 
lasztás miatt — elméletileg hozzáférhetnek 
rosszindulatú behatolók, de ennek az esé- 
lye minimális. 

A UNIX esetében ezenkívül a javítási 
idő és költség is jóval kedvezőbb lehet, 
mint más rendszereknél. Fontos megemlí- 
teni még, hogy a UNIX a vírusokkal szem- 
ben is nagyobb biztonságot kínál, mint 
más operációs rendszerek. 


Biztonság a virtuális 
térben 


Az internet és az internet-alapú alkalma- 
zások elterjedése miatt a vállalatközi adat- 
forgalom jelentős része internetes platfor- 
mon zajlik. Az informatika fejlődésével az 
adatok nemcsak a jogos felhasználók szá- 
mára válnak egyre értékesebbé, hanem a 
konkurencia, a hackerek vagy más illegális 
behatolók számára is. Természetesen van- 
nak olyan intézmények, amelyeknél az 
adatvédelem már most is nagy hangsúlyt 
kap; ilyenek a kormányzati, a nemzetbiz- 
tonsági és katonai szervek, a pénzügyi 
szervezetek — ezeknél azonban a védeke- 
zés elsősorban azon alapul, hogy rendsze- 
reik nem kapcsolódnak nyilvánosan elér- 
hető hálózatokhoz. 

A kommunikációs eszközök fejlődésé- 
vel a cég számára nélkülözhetetlen adatok 
— közvetve vagy közvetlenül — többféle 
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Csak nyiltan, 
őszíntén 


A tavaly szeptemberi New York-i események óta a vállalatok 


világszerte nagy hangsúlyt fektetnek a biztonságra. Ennek 


következtében érezhetően megnőtt az igény a nyílt 


rendszerek - például a UNIX - iránt. A biztonságos kommu- 


nikáció megteremtésében fontos szerepet játszhat a Sun 


Liberty Alliance nevű személyazonosítási megoldása is. 


SOLARIS OPERATING ENVIRONMENT 


ban ki tudja küszöbölni a 
cég számítógépes rend- 
szere. Egyes becslések 
szerint csak a Code Red 
vírus mintegy 2 milliárd 
dolláros kárt okozott vi- 
lágszerte. 

A hálózatokon terjedő 
PC-s kórokozók 2000-ben 
mintegy háromszor annyi 
fertőzést . okoztak, mint 
1995-ben és 1996-ban 
együttesen. Ennek megfe- 
lelően a szakembereknek 
fokozott figyelmet kell for- 
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A Sun ONE szoftverstratégiája 


módon is rendelkezésre állnak, ezért en- 
nek a folyamatnak az eredményeként a 
vállalati belső biztonsági gyűrűk erősítése 
is elengedhetetlenné vált. A hazai vállala- 
tok jó része már most is használ alapvető 
biztonsági előírásokat, s a jövőbeni infor- 
matikai beruházások egyre nagyobb része 
is olyan fejlesztésekre irányulhat, ame- 
lyekben fokozott szerepet kap a biztonság. 


Internetes 
biztonságpolitika 


Ugyancsak egyre határozottabban je- 
lentkezik az az igény is, hogy a 2001. év- 
ben tapasztalt számítógépes kórokozók 
(Code Red, Nimda és Goner) gyors és igen 
széleskörű elterjedését minél hatékonyab- 


dítaniuk az internetes biz- 
zj tonságpolitikára, amely 
nem csak az eddig — alkalmazott 
webszerver platformjukkal kapcsolatos ál- 
láspontjuk átértékelését jelenti, hanem egy 
átfogó, a megelőzésre, az észlelésre és a 
beavatkozásra is kiterjedő szemlélet kiala- 
kítását is. A nem megfelelő védelemre hi- 
vatkozva a hazai cégek egyelőre nem 
óhajtják internetes alapokra helyezni azo- 
kat az adatbázisokat, valamint alkalmazá- 
sokat, amelyekben valóban jelentős káro- 
kat okozhatnak a jogosulatlan hozzáférők 
vagy — rosszindulatú  — behatolók. A 
hosszútávú megoldás azonban nem az 
adatbázisokhoz való hozzáférés akadályo- 
zásában, hanem - ezzel ellentétben — 
azok teljeskörű rendelkezésre bocsátásá- 
ban rejlik, természetesen a megfelelő vé- 
delemmel együtt. 
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Java, a csodafegyver 


Biztonsági szempontból a világszerte 
igen elterjedt PC-alapú szoftverkörnyezet 
igen sebezhetővé válik az internetes alkal- 
mazások futtatása esetén. A Java technoló- 
gia — a Sun Microsystems internetes prog- 
ramozási környezete és nyelve — jelenleg 
az egyik legelterjedtebb, valóban plat- 
formfüggetlen és biztonságos internetes 
programozási nyelv. A Java azáltal, hogy 
biztonságot nyújt az egész hálózaton, az 
olyan alkalmazások esetében is ideális, 
amelyek emeltszintű biztonságot követel- 


Federated Airlines 


Bejelentkezés a légitársaság honlapjára 


nek meg, mint például az elektronikus ke- 
reskedelem vagy az internetes banki szol- 
gáltatások. A Java programozási nyelv , Írd 
meg egyszer, és futtasd bárhol" tulajdonsá- 
gának köszönhetően az alkalmazások 
ugyanabban a környezetben fejleszthetők, 
majd tetszőleges platformon futtathatók, 
időt és pénzt takarítva meg a cégek és in- 
tézmények számára. A program kicsi, fut- 
tatása egyáltalán nem lassítja le a procesz- 
szort. A Java születésétől kezdve biztonsá- 
gos, s úgynevezett virtuális gépként műkö- 
dik az őt futtató programkörnyezetben. Ez 
azt jelenti, hogy ha egyszer a program el- 
indul, akkor onnan már nem lehet kilépni, 
vagyis kódja csak korlátok között futtatha- 
tó. 


Biztonság elérhető áron 


Becslések szerint a világon jelenleg több 
mint hárommillió programozó szakember 
használja a Javát, mintegy 7 millió web- 
oldal építésében. Az alkalmazásszerverek 
több mint 90 százalékában, továbbá sok 
millió vezeték nélküli kommunikációs esz- 
közben - PDA-kban, mobiltelefonokban, 
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valamint egyéb banki vagy kereskedelmi 
felhasználási területeken — használják fo- 
lyamatosan a Java programnyelven íródott 
fejlesztéseket, alkalmazásokat, kihasznál- 
va a technológia gazdag lehetőségeit és 
platformok közötti, többféle eszközt támo- 
gató képességét. 

A Sun Microsystems a kis- és közepes, 
valamint a nagyvállalatok számára is 
testreszabott biztonsági megoldásokat kí- 
nál. A vállalat ugyan túlnyomórészt hard- 
veres termékeket értékesít, mégis mérnö- 
keinek kétharmada szoftveres irányultságú 
szakember. Ez is azt mutatja, hogy a jövő- 
ben igen nagy szerepet szánnak a techno- 
lógia elterjesztésének. 

Ennek első lépése a Sun-Netscape ösz- 
szefogás volt, majd ezután 2001. február- 
jában létrejött a Sun ONE (Open Network 
Environment) nevet viselő tetszőleges 
internet-alapú  szoftverkörnyezet, amely 
nem alkalmazás, hanem egy infrastruktú- 
ra-szintű szoftvermegoldás. Nyílt rendszer- 
ként bármely szoftverkörnyezettel kompa- 
tibilis, s magát a programstratégiát akár al- 
kotórészeivel együtt is cserélni lehet. 

A biztonságos technológia ma már nem 
csak a nagyobb cégek számára elérhető. A 
Sun ONE-t a kis- és közepes vállalatok 
számára is ajánlja a Sun. A Sun Fire vT.0 
elnevezésű egyprocesszoros szervert több 
ezer dollár értékű, nagyfokú biztonságot 
garantáló szoftverekkel kínálják. A mind- 
össze 4000 dollár értékű csomag magában 
foglalja a hardvert, a Sun Solaris operációs 
rendszert, azonkívül egy webszervert, egy 
apache webszervert, egy ASP szervert, 
amellyel Microsoftos ASP alkalmazások is 
futtathatók, valamint egy directory szer- 
vert, amellyel akárhány felhasználó konfi- 
gurálható. A határ a processzor kapacitása. 


Személyazonosítás az 
interneten 


A mindennapi internetező nap mint nap 
szemben találja magát azzal a problémá- 
val, hogy a különböző weboldalakon újból 
és újból meg kell adnia a személyes adata- 
it, úgy hogy közben már nem is tudja, hány 
szerveren találhatók meg azok. Igen nagy 
tehát az igény egy olyan integrált szolgálta- 
tásra, ahol a felhasználóknak csak egyszer 
kell megadniuk adataikat, azokat a befoga- 
dó rendszer biztonságosan tárolja, és bár- 
mikor a felhasználó vagy szolgáltatója szá- 
mára elérhetővé teszi, amennyiben a tranz- 
akciókhoz szükség van rájuk. 


A Liberty története 


2001. szeptember:  Bejelentik a 
Liberty Alliance megalakulását. 

2002. február: Már 38 résztvevője 
van a szervezetnek. Bejelentik, hogy 
hamarosan megjelenik a szabvány első 
specifikációja. 

2002. május: Alapítványok, non-pro- 
fit szervezetek csatlakozása. 

2002. július: Megjelenik az első spe- 
cifikáció. A résztvevő tagok száma 65- 
re emelkedik. 


A mai napig két nagy szolgáltatás szeret- 
né elfogadtatni a világgal a maga azonosí- 
tási szabványait. Az egyik a Sun új, úgyne- 
vezett Liberty Alliance megoldása, a másik 
a már jól ismert Passport a Microsofttól. A 
Passport zárt, központi rendszerével szem- 
ben, ahol a felhasználók adatait csak és ki- 
zárólag a Microsoft tárolja, a Liberty 
Alliance esetében nyílt vagy elosztott 
rendszerről beszélhetünk, vagyis olyanról, 
ahol a felhasználók engedélyével az egyes 
tranzakciók összekapcsolhatók. Lássunk 
egy példát. 


Hogyan is működik a 
Liberty? 

Kiss úr üzleti útjára interneten rendeli 
meg a repülőjegyét és bérelt autóját az 
Egyesült Államokba, frankfurti átszállással. 
Kiss úr Ferihegyen minden gond nélkül fel- 
száll Frankfurt felé. A baj ott kezdődik, 
hogy átszálláskor üzemzavar miatt két órá- 
val később indul tovább, ezért két órával 
később érkezik meg a tengerentúlra. Az 
előre lefoglalt bérelt autót a késés miatt 
nem tartották fenn számára, és a cégével 


erate your 
line account 
rith your car 


aáccoun 


A program felajánlja az autókölcsönző 
szolgáltatás igénybevételét 


. Sun Liberty Alliance 


kapcsolatban álló autókölcsönző nem tu- 
dott másik autóval szolgálni. Kiss úr a ké- 
sés miatt fontos üzleti tárgyalásról maradt 
le. Ha Kiss úr a Liberty Alliance-t használta 
volna, a légitársaság rendszere értesítette 
volna az autókölcsönző cég rendszerét ar- 
ról, hogy Kiss úr késni fog, és fenntartották 
volna számára az autóját. 

A Liberty Alliance lényege éppen ebben 
rejlik: az elosztott rendszer elemei nyílt fe- 
lületen kommunikálnak egymással. Ha a 
felhasználó úgy dönt, hogy két szolgálta- 
tást össze kíván kapcsolni — esetünkben a 
repülőjegy-foglalást és az autókölcsönzést 


Bejelentkezés az autókölcsönző céghez 


-, a két — különben teljesen különálló — 
rendszer egy rendszerként kezd működni. 
Az azonosítás rendkívül biztonságos, hisz 
valójában a felhasználó engedélyével 
ajánlja fel az általa megadott és engedé- 
lyezett adatokat egy kiválasztott szolgálta- 
tón keresztűl több szolgáltatónak. A rend- 
szer alapja a Sun Microsystems már műkö- 
dő directory szoftvere, amelyet belső azo- 
nosításra . —  — például számlázásra, 
beléptetőkártyára vagy felhasználó-azono- 
sításra — használnak. A jövő a több vállalat 
hasonló rendszereinek összekapcsolásá- 
ban rejlik. 


Változások az 
e-commerce-ben 


A szoftvergyártók gőzerővel dolgoznak 
a Liberty Alliance megoldás termékeikbe 
való beépítésén. A közelmúltban mutat- 
ták be a projekt első specifikációját, 
amely a webes azonosítás alapjait fektette 
le. Ez azt jelenti tehát, hogy Kiss úrnak 
csak egyetlen egyszer kell bejelentkeznie, 
a többit a rendszer már automatikusan in- 
tézi, mint ahogyan azt az iménti példa is 
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mutatja: ha egyszer Kiss úr kéri, hogy re- 
pülőjegye mellé bérautót is foglaljanak 
számára, s ne kelljen ezt külön elintéznie 
az autókölcsönző cég honlapján, egy be- 
jelentkezés után, sokkal egyszerűbben és 
gyorsabban, a repülőjegy-foglalás után, 
külön kijelentkezés nélkül választhatja ki 
a kívánt autót. A rendszer továbbá leegy- 
szerűsíti a tájékozódást, mégpedig oly 
módon, hogy a rendelkezésre álló azono- 
sítási adatok alapján csak és kizárólag 
azokat az információkat jeleníti meg a 
képernyőn, amelyek a felhasználó számá- 
ra relevánsak, továbbá a felhasználónak 
kijelentkeznie is csak egyetlen egyszer 
kell. 

A most bemutatott szoftver lehetővé te- 
szi a vezeték nélküli eszközökön is az azo- 
nosítási műveletek végrehajtását, így Kiss 
úr útközben mobiltelefonja és hordozható 
érintőképernyős számítógépe segítségével 
könnyűszerrel ellenőrizheti foglalásai stá- 
tuszát. Maga a Sun is bejelentette, hogy in- 
tegrálja a Sun ONE-ba a Liberty-t. A Sun is 
— mint a szövetség többi résztvevője — arra 
törekszik, hogy egységes internetes szab- 
ványokat használjon bárhol a világon, és a 
szabványokat ne használja profitszerzésre. 
Míg a most bemutatott 7.0-s verzió beje- 
lentkezési azonosítókra és a hozzájuk kap- 
csolódó jelszavakra, valamint a rendszer- 
ben részt vevő szolgáltatók bevonására kí- 
nál megoldást, a következő verzió — mely- 
nek megjelenése a szakemberek szerint 
hamarosan, 2003 elején várható — már 
más típusú információk cseréjére is lehető- 
séget nyújt majd. Többek között támogatni 
fogja a hitelkártyás fizetést, továbbá a tele- 
fonszámok, címek vagy más típusú adatok 
használatát is. 


Passport kontra Liberty 


A Liberty Alliance tavaly szeptemberi el- 
indítását sokan a Microsoft Passport elleni 
nyílt támadásnak vélték. A Microsoft akko- 
ri nyilatkozataiban nem adott esélyt az új 
szabvány elterjedésének. A helyzet azóta 
megváltozott. A Sun Microsystems már 
csak inkább afféle tanácsadóként segíti a 
rendszer elterjedését. A Liberty elterjedését 
egyébként olyan nagyágyúk segítik, mint 
az America Online, az EarthLink, a United 
Airlines, az American Airlines, a General 
Motors, továbbá a Vodafone, a Nokia és a 
France Telecom, illetve a Bank of 
America, a Visa, a Fidelity Investments, az 
American Express és a Citigroup. 


A két nagy szabvány olyannyira közelít 
egymáshoz, hogy maga a Passport is — 
amely jelenleg a Microsoft saját, egyedi 
csatlakozik más azonosítási szabványok- 
hoz, így a Liberty-hez is. A Microsoft to- 
vábbá bejelentette, hogy a Passport nyitot- 
tabb verzióját is 2003-ban tervezi bemu- 
tatni. A Gartner szerint a Passport jelenleg 
14 millió regisztrált felhasználót tudhat 
maga mögött, amelyhez képest a Liberty 
vadonatúj technológiáját igénybevevő fel- 
használók száma igen csekély. Elemzők 
szerint azonban a Liberty-t használók tá- 
bora a közeljövőben jelentősen növekedni 
fog. 

Míg a Passport sokkal több kisfelhasz- 
nálót sorakoztatott fel maga mögött, a 
Liberty a nagyfelhasználók körében érhet 
el látványos eredményeket. A Liberty 
rendszere hasznos szerepet játszik majd a 
résztvevők közötti adatforgalom jelentős 
egyszerűsödésében és költséghatékonysá- 
gában. A cégek között, valamint a cégek 
és fogyasztóik között az egyszerűsödő 
adatkezelés miatt gyorsabban zajlanak 


Your accounts are 
now linked. 


F—S 


Az adatok automatikusan átkerülnek az au- 
tókölcsönzőhöz 


majd az internetes üzleti tranzakciók, de 
az egyszerű fogyasztónak sem kell ki tud- 
ja hány helyen megadnia az adatait. A 
szabvány elterjedésével várhatóan jelen- 
tős áttörés következik be a tranzakciókat 
lebonyolító internetes piacokon, körülbe- 
lül úgy, mint ahogyan a készpénzfelvevő 
automaták az egyik pillanatról a másikra 
elfogadták a bankok bármelyike által ki- 
bocsátott kártyát. De hasonló változás 
várható a vezeték nélküli eszközök terü- 
letén is. Az új szabványt tartalmazó új 
szoftverek ez év végén kerülnek a boltok- 
ba. 

Kemény László 
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Az informatikai biztonság és a 


megbízhatóság egymástól szinte 


elválaszthatatlan fogalmak. A Novell 


Secure Access integrált 


megoldáscsomag a személyazonos- 
ság egységes felügyeletét, s ezáltal 


az ügyfelek bizalmának növekedését 


kínálja a vállalkozásoknak. 


bizalom minden üzleti kapcsolat 
alapja. A mai világban az elektro- 
nikus felületek egyre több helyen 


felváltják a személyes emberi kapcsolato- 
kat. Ahogy egyre inkább a webes alkalma- 
zások válnak a vásárlókkal és a partnerek- 
kel való kapcsolattartás eszközeivé, a cé- 
geknek is ugyanolyan szintű bizalmat és 
megbízhatóságot kell elérniük a webes fe- 
lületeken keresztül is, mint amilyeneket a 
személyes kapcsolatok biztosítanak. A ha- 
tékony szolgáltatások érdekében tárgyalni 
kell a partnerekkel és a gyártókkal, az al- 
kalmazottaknak pedig biztosítani kell a 
munkájuk végzéséhez szükséges erőforrá- 
sokat; meg kell osztani a cég hálózati erő- 
forrásait, ugyanakkor védeni kell ezeket az 
erőforrásokat a jogosulatlan használat és a 
behatolók ellen. Átfogó biztonsági megol- 
dásra van tehát szükség, amely egyszerre 
kínál egyszerű hozzáférést a hálózathoz, 
ugyanakkor megfelelő módon védi az IT 
rendszereket. 
A Novell Secure Access biztonsági meg- 
oldáscsomag a Novell hozzáférési é 
tonsági termékeinek új, integrált csomagja, 
amellyel egyszerűsíthető, biztonságossá 
tehető és felgyorsítható a jogosultság keze- 
lése a különböző alkalmazások, platfor- 
mok, adatbázisok és hálózati erőforrások 


tonsági megoldások gyakran külön tárolják 
a személyazonossági adatokat és a bizton- 
sági irányelveket. Ha viszont többszörö- 
sen, termékenként külön kell tárolni a sze- 
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Novell. 
Secure Access 


A Novell Secure Access a biz- 
tonságos hozzáférés ideális 
eszköze a vállalatok számára 


mélyazonossági adatokat és a biztonsági 
irányelveket, az nemcsak megnöveli a sé- 
rülékenységet és a felügyeleti/támogatási 
költségeket, hanem rontja a végfelhaszná- 
lók hatékonyságát is. Ráadásul ezek a 
megoldások általában nem foglalják ma- 
gukban az összes felhasználót, akivel egy 
szervezet kapcsolatba kerül. 

A hálózatnak egyformán konzisztens 
hozzáférés-vezérlésre és biztonságra van 
szüksége, akár a vásárlókról, akár a part- 
nerekről, akár pedig az alkalmazottakról 
van szó. A Novell Secure Access biztonsá- 
gi megoldáscsomag segít a magas szintű 
biztonság kialakításában, csökkenti a fel- 
ügyeleti és támogatási költségeket, vala- 
mint felhasználóbarát rendszert kínál a 
végfelhasználók számára. A Novell Secure 
Access ideális biztonsági megoldáscsomag 
a különböző vegyes hálózatokhoz: képes 
egységesíteni a Novell-termékek, valamint 
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a nem Novell-alkalmazások, adatbázisok, 
platformok és más hálózati erőforrások jo- 
gosultság-kezelését. 


A sérülékenységek 
megszüntetése 


A Novell biztonsági csomagja megszün- 
teti a több azonosítóval és jelszóval rendel- 
kező felhasználókkal, illetve a hálózaton 
elszaporodott , lejárt" felhasználói profilok- 
kal együtt járó általános kockázatokat. A 
Novell Secure Access használatával a fel- 
használók biztonságosan hozzáférhetnek a 
hálózathoz az asztali PC-kről, a noteszgé- 
pekről, a mobiltelefonokról és a PDA-król 
egyaránt. A termék méretezhető is: képes 
akár felhasználói profilok millióival is meg- 
birkózni, részletes adatokat tárolva minden 
egyes felhasználó szerepéről és kapcsolata- 
iról a cégen belül és kívül egyaránt. Ez a 
személyazonosság-információ használható 
a felhasználók hitelesítésére, és ez alapján 
adható vagy tagadható meg a hozzáférés a 
hálózati erőforrásokhoz. 

A Secure Access többféle hitelesítési 
módszert is támogat, így például az egy- 
szerű és összetett jelszavak, a digitális ta- 
núsítványok, a token-alapú technológiák 
(intelligens kártyák és tokenek), valamint a 
biometriai eszközök (retina- vagy ujjlenyo- 
mat-leolvasók) használatát. 


Kisebb felügyeleti 
költségek 


A Novell Secure Access a hálózat-fel- 
ügyelet egyszerűsítésével csökkenti a fel- 
ügyeleti költségeket. Sok 


más biztonsági megoldás 
esetében a rendszergaz- 
dáknak maguknak kell kü- 
lönféle megkerülő mód- 
szereket kidolgozniuk a 
különféle biztonsági  inf- 
rastruktúrák békés egymás 
mellett élésének megoldá- 
sára — a Novell Secure 
Access azonban rögtön 
többféle platformot és al- 


A Secure Access a legkülönfélébb platformokkal és alkalma- 


zásokkal működik együtt 


kalmazást támogat. Ez 
egyszerűsíti a felügyeletet, 
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— Novell Secure Access 


és lehetővé teszi a meglévő technológiai 
befektetések kiaknázását. A Novell Secure 
Access használata esetén nem kell kidobni 
a meglévő informatikai értékeket, és nem 
kell külön szoftvert telepíteni a kliensekre, 
mivel a heterogén rendszerek is könnyedén 
felügyelhetők ugyanazzal az eszközzel. 

A termék a legtöbb platformmal és alkal- 
mazással együttműködik (NetWare, Win- 
dows NT/2000/XP, Solaris, UNIX, Free 
BSD, Open MVS, 0S/390, AS/400, Linux, 
illetve Windows-, web- és host-alkalmazá- 
sok, Citrix/Terminal Server), ezenkívül ja- 
vítja a hálózat teljesítményét is: a titkosítás 
terhét leveszi az alkalmazásszerverről, és a 
weblapok elérését gyorsító — cache- 
funkcionalitást is kínál. 


A csomag tartalma 


Azonosítók felügyelete 


A Novell biztonsági megoldáscsomagjá- 
val a felhasználói azonosítók tetszés sze- 
rinti helyről felügyelhetők. A hálózat bár- 
mely pontjáról elláthatók az alapvető fel- 
ügyeleti feladatok: a jelszavak kezelése, a 
felhasználók felvétele és törlése, a felhasz- 
módosítása, valamint az alkalmazások te- 
lepítése és frissítése. A felhasználói azono- 
sító módosítása után a változások automa- 
tikusan tovább szinkronizálódnak az ösz- 
szes rendszerre. Ez nemcsak egyszerűsíti a 
felügyeletet, hanem a biztonságot is növe- 
li. Ha például egy alkalmazott kilép, akkor 
a felhasználói azonosítóinak a központi 


A Novell Secure Access csomag az 
alábbi biztonsági és hozzáférés-vezérlési 
termékeket tartalmazza: 

p Novell eDirectory: A személyazonos- 
ság, irányelvek és hozzáférések keze- 
lésének alapjaként a címtár minden 
átfogó biztonsági megoldás eleme. 
Az eDirectory használatával a cégek 
átvehetik, tárolhatják, szervezhetik és 
kihasználhatják azokat a személyazo- 
nossági információkat, melyek a hoz- 
záférési jogok alkalmazottakhoz, ügy- 
felekhez és partnerekhez rendelésé- 
hez szükségesek. 

b NDS Authentication Services (NDS- 
AS): Az NDS Authentication Services 
biztonságos hozzáférést kínál a plat- 
formokhoz. Az NDS-AS kezeli a fel- 
használók létrehozását, törlését, mó- 
dosítását, a jelszavak szinkronizálását 
és átirányítását a vállalati platformok 
— többek között a NetWare, a Win- 
dows 2000, a Solaris, a Linux és az 


OS/390 -— között. Ez az integráció 


szükségtelenné teszi a különböző fel- 
használók létrehozását minden egyes 
platformon, mert az összes felhasz- 
náló egységesen kezelhető. 

pb Novell iChain:-A Novell iChain felada- 
ta a biztonságos webes hozzáférés. 
Az iChain használatával a szervezetek 
biztonságossá tehetik webes környe- 
zetüket, szabályozhatják a felhaszná- 
lói hozzáférést ezekhez a környeze- 
tekhez, és a felhasználóknak egypon- 
tos beléptetést biztosíthatnak szinte 
az összes webalapú alkalmazáshoz 
és tartalomhoz. 
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b Novell Modulra Authentication Servi- 
ce (NMASJ): Az NMAS használatával a 
vállalatok többféle hitelesítési mód- 
szert tarthatnak fenn, beleértve a jel- 
szavas, —— smart-kártyás, — tokenes, 
biometriai és digitális tanúsítvány 
módszereket és akár ezek kombináci- 
óit is. Ezeknek a fejlett hitelesítési 
módszereknek a támogatása meg- 
erősíti az olyan hálózati adatok biz- 
tonságát, amelyek túl érzékenyek az 
egyszerű jelszavas védelem alkalma- 
zásához. 

b Novel! SecureLogin: A Novell Secu- 
reLogin az alkalmazásokhoz való biz- 
tonságos hozzáférésről gondoskodik. 
Ezzel a termékkel a felhasználók 
egyetlen belépéssel elérhetik szinte 
valamennyi vállalati alkalmazást. A 
SecureLogin használatakor a felhasz- 
nálóknak nem kell fejben tartaniuk a 
jelszavak és azonosítók tucatjait. Miu- 
tán egyszer beléptek a hálózat vala- 
melyik számítógépére, a SecureLogin 
automatikusan biztosítja a jogosultsá- 
got az általuk igényelt alkalmazások- 
hoz és adatokhoz. 

b. Novell BorderManager: A Novell Bor- 
derManager a vállalat erőforrásaihoz 
kínál biztonságos hozzáférést, ezzel 
megerősíti a vállalati biztonságot, nö- 
veli a felhasználók termelékenységét 
és a hálózat teljesítményét. A tűzfal 
és VPN szolgáltatások mellett a 
BorderManager a forward-proxy tech- 
nológiát alkalmazza a felhasználók 
internetes hozzáféréseinek szabályo- 
zására, felgyorsítására és figyelésére. 


törlése által azonnal meg lesz tiltva számá- 
ra az összes hálózati erőforrás elérése. Ez 
megerősíti a hálózatnak a jogosulatlan 
hozzáféréstől való védelmét, valamint ar- 
ról is gondoskodik, hogy ne maradjon 
egyetlen ,hátsóajtó" se nyitva a hálózaton. 


Biztonsági irányelvek 


A Secure Access használatával mind a 
hozzáférés-vezérlés, mind a biztonsági 
irányelvek a felhasználó személyazonos- 
ságára alapozhatók. Megoldható például, 
hogy a marketing- és értékesítési osztály 
alkalmazottai más alkalmazásokat, adato- 
kat és hálózati erőforrásokat érjenek el, 
mint a személyzeti osztály alkalmazottai. 
Megoldható továbbá, hogy a felsővezetés 
olyan adatokhoz is hozzáférjen, amelyek 
el vannak zárva az ügyfélkapcsolati alkal- 
mazottak elől. A Novell Secure Access- 
szel kifinomult módon szabályozhatók a 
egyes fájlonként, sőt egyes attribútumon- 
ként (pl. e-mail cím) is kiosztható vagy 
megtagadható a hozzáférési jog. Ezenfelül 
a Novell Secure Access tűzfallal védi a be- 
jövő és kimenő adatokat, hatékony védő- 
gátat építve ki a belső hálózat és az 
internet között, hogy a rosszindulatú tarta- 
lom ne jöhessen be. 

A címtár-integráció révén a Novell 
Secure Access segítségével a jogosult fel- 
használók elérhetik a számukra engedé- 
lyezett információt és erőforrásokat. To- 
vábbi védelmet nyújt a forward-proxy 
technológia, amely képes korlátozni az al- 
kalmazottak internet-hozzáférését. A 
proxy-technológiával a hálózat a belső fe- 
nyegetések ellen is védhető, hiszen az al- 
kalmazottak kizárólag azokat a hálózati 
erőforrásokat érhetik el, amelyekhez kife- 
jezetten jogokat kaptak. 


Felhasználóbarát 


környezet 


A csomag a végfelhasználók életét is 
megkönnyíti: lehetővé teszi számukra, 
hogy egyetlen felhasználói névvel és jel- 
szóval elérjék a hálózati erőforrásokat. A 
felhasználóknak többé nem kell jelszavak 
sokaságát megjegyezniük, vagy egész nap 
különféle alkalmazásokba be- és kijelent- 
kezniük. Egyszer kell csak bejelentkezni- 
ük, és máris elérik a számukra engedélye- 
zett valamennyi hálózati adatbázist és al- 
kalmazást. J.R. 
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A Computer Associates (CA) 
október elején, a Data 
Security Day 2002 rendezvé- 
nyen mutatta be legújabb 
biztonságtechnikai 
megoldását. Az eTrust 
Security Command Center 
egységes azonosítás-, 
hozzáférés- és fenyegetett- 


ség-kezelést kínál. 


z etrust Security Command Center 
Ac tulajdonképpen a már ko- 

rábban is létező CA eTrust megol- 
dások, valamint az ezekhez kapcsolódó 
technológiák ötvözete. Újdonság viszont, 
hogy az eTrust Security Command Center 
segítségével a vállalat valamennyi bizton- 
sági műveletét egyetlen vezérlőpultról 
vagy portálról irányíthatjuk. 

A rendszer legnagyobb előnye, hogy a 
vállalatoknál működő biztonsági megoldá- 
sokat — beléptető, azonosító, ellenőrző 
rendszereket — egységes mederbe tereli, 
így a technológiában vagy az eljárásokban 
lévő ,hézagok" nem teszik sebezhetővé a 
cég védelmét. Az integrált megoldás lé- 
nyegesen kevesebb felügyeletet,  admi- 
nisztrációt igényel, ráadásul így a rendszer 
automatizálása is könnyebben megoldha- 
tó. 

Az integráció növeli a hatékonyságot, 
ami már azért is lényeges, mert a cégek 
rendszereit egyre több támadás éri, a nap- 
világra került esetek 64 százaléka pedig 
anyagi veszteséggel jár. Mivel mind több 
cég kapcsolódik a világhálóra, a támadók 
gyakran éppen innen próbálnak hozzáfér- 
ni a vállalatok rendszereihez. A támadások 
70 százaléka ma már az internet felől ér- 
kezik, de a webes tartalmak elleni támadá- 
sok száma is megduplázódott az elmúlt 
évben. 

Bárhogy fejlődjön is a technika, a legna- 
gyobb veszélyt a mai napig a saját munka- 
társak, partnerek jelentik. Ezért fontos, 
hogy a beléptetőrendszer, a telefonok, il- 
letve a számítógépek használatához szük- 
séges azonosító rendszerek, a gépek 
internetes forgalmának és a belső hálózat- 
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irtonítág egy 


ézből 


hoz történő hozzáféréseknek a naplózása 
integrálva legyen. Így a biztonsági felelős 
ellenőrizheti, hogy ki, milyen alkalmazá- 
sokhoz, mikor fért hozzá, milyen telefono- 
kat használt, illetve hogy mely helyiségek- 
ben tartózkodott. Legalább ilyen fontos a 
külső, hálózaton keresztül történő behato- 
lások — például a vírusok és a hackerek — 
elleni védelem, amelyet szintén a Security 
Command Center ellenőriz, így valóban 
elmondhatjuk, hogy cégünk biztonságáról 
egyetlen rendszer gondoskodik. 

Mindez természetesen csak megfelelő 
jogosultsági hierarchia esetén hatékony, 
ám a rendszerrel a jogosultságok személy- 
re szabhatók, így mindenki csak a munká- 
jához szükséges alkalmazásokhoz, rend- 
szerekhez és dokumentumokhoz férhet 
hozzá. A biztonsági felelős természetesen 
hálózaton keresztül menedzselheti a rend- 
szert. Mivel csak a biztonsági felelős férhet 
hozzá a teljes rendszerhez, illetve mivel a 
központon keresztül minden szükséges in- 
formációt megkap, valóban felelőséggel 
végezheti a munkáját. 


A CA eTrust kezelőfelülete 


Az eTrust Identity Management azonosí- 
tás-kezelés a felhasználók kiszolgálásáról 
gondoskodik, beleértve a biztonságos és 
egyszerűen kezelhető bejelentkezésüket 
az üzleti alkalmazásokba, összhangban a 
vállalatnál betöltött szerepükkel. 

Az eTrust Access Management hozzáfé- 
rés-kezelés a vállalati erőforrások megelő- 
ző módszerű, szabályokra alapozott vé- 
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A hackertámadások megoszlása típus sze- 
rint 

delmét, az üzletvitel szempontjából fontos 
rendszerek magas rendelkezésre állását 
biztosítja. 

Az eTrust Threat Management fenyege- 
tettség-kezelés védelmet nyújt a belső és 
külső fenyegetések ellen, mint amilyenek 
például a rosszindulatú programok és a 
szolgáltatás visszautasítását kiváltó táma- 
dások. 

Az eTrust Security Command Center se- 
gítségével a rendszergazdák egyetlen ve- 
zérlési pontról felügyelhetik ezt a három 
szakterületet. Az eTrust Security Command 
Center valamennyi vállalati szintű bizton- 
ságtechnikai funkció integrált, portál jelle- 
gű menedzselését és megjelenítését látja el. 
Ezen felül nyílt csatlakozófelületeket is 
szolgáltat, amelyeken keresztül harmadik 
fél biztonságtechnikai termékeit, például 
behatolás-észlelő rendszereket, tűzfalakat 
és hálózati berendezéseket lehet illeszteni 
a CA termékéhez. Az integrálást a CA Smart 
megoldás-minősítő program segíti, így az 
adott feladatra legalkalmasabb megoldást 
választhatjuk, függetlenül a gyártótól. 

Mint minden, a vállalat működését alap- 
jaiban befolyásoló rendszer, az eTrust meg- 
oldások üzembe állítása is felbolygatja a 
cég életét, ám hogy ez minél kisebb meg- 
rázkódtatást jelentsen, a CA olyan cégekkel 
működik együtt, mint az Ernst £ Young, az 
EDS, a Fujitsu Siemens Computers, az 
SAFlink, a Gemplus és az SAP. 

Fülöp Norbert 
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a valaki netán még nem tudná, a 
hai félelmetes VirusBuster név mögött 

egy magyar fejlesztésű víruselle- 
nes programcsalád rejtőzik, az 1997-ben 
alakult azonos nevű cég terméke. A 
VirusBuster Kft. a Sybari, a Sophos és a 
ClearSwift vírusellenes szoftvereit is forgal- 
mazza. A cég nyár közepén felkerült a Mi- 
niszterelnökség Közbeszerzési és Gazda- 
sági Igazgatóságának szűkített listájára, így 
a közigazgatási intézmények jelentős ked- 
vezménnyel rendelhetnek tőle vírusellenes 
megoldásokat. 

Számos operációs rendszerhez létezik 
VirusBuster-változat: a különféle . Win- 
dowsok (95, 98, ME, NT 4 Workstation és 
Server, 2000 Professional és Server, XP) 
használóin kívül a Novell NetWare-t, a 
DOS-t és a Linuxot futtatók is részesülhet- 
nek jótéteményeiből. 

A Microsoft Office 2000-hez és XP-hez 
készült verzió egyfelől az Outlookkal inté- 
zett levelezést óvja a fer- 
tőzéstől, — másfelől az 
Office-programokba 
(Access, Excel, Power- 
Point és Word) integrált 
állandó védelem révén 
különféle dokumentuma- 
inkat mentesíti a kárte- 
vőktől. Folyamatosan el- 
lenőrzi a bejövő és kime- 
nő levelekhez csatolt ál- 
lományokat (beleértve a 


Reszkessetek 
kártevők! 


A vírusok meg-megújuló támadásai miatt a felhasználók 


egyetlen percig nem érezhetik magukat tökéletes biztonság- 


ban. Hacsak nem gondoskodnak időben megfelelő vírusvé- 


delemről. A magyar fejlesztésű VirusBuster termékcsalád tel- 


jes körű, 24 órás támogatást és számos platformra kiterjedő, 


központilag irányítható védelmet kínál a felhasználóknak. 


TERT TET JEBITETT 


tömörítvényeket), továb- 
bá értesítést küld a fertő- 
zött levél  küldőjének: 
nem árt, ha tud róla, hogy 
mit terjeszt. A dokumentumokban lévő 
makrók csak negatív eredményű vírusel- 
lenőrzés után futhatnak. Levelezésszűrő 
csomag kapható a NetWare alatt futó 
GroupWise-hoz és a Unix-alapú SMTP- 
hez is. 

Windows NT-s és 2000-es hálózatok- 
ban használható eredményesen a Win- 
dows — Domain Securityre épülő 
VirusBuster Central Management Solution 
(CMS), amely lehetővé teszi a vírusellenes 
harc központi irányítását. Telepítési sab- 
lonjai által külön előírhatók a hálózatban 
található gépcsoportok védelmi jellem- 
zői. A szoftver bizonyos időközönként 
megvizsgálja, hogy az egyes gépeken mű- 
ködő programoknál van-e újabb, és köz- 
pontilag elvégzi a frissítést. A hálózat ki- 
alakításától függően létrehozható több- 
szintű irányítórendszer is. Automatikusan 


Ww.computerpanorama.hu 


A VirusBuster jól áttekinthető programablaka víruskeresés 
közben. Bal szélen a Shortcut Bar, mellette jobbra a válasz- 
tólista, alul a műveletlista, jobbra a keresőablak látható 


VirusBuster for Windows 


Kipróbáltuk a VirusBuster család legtöb- 
bek által használt tagját, a Windowsok alatt 
futó változatot. A problémamentes telepítés 
után a szokásos módon megjelenik az ál- 
landó védelmet biztosító VBShield pajzs 
ikonja a Windows tálcáján. Az ikon jobb 
egérgombos menüjéből közvetlenül elérhe- 
tő a legfontosabb funkciók egy része, így 
például a víruskeresés, a program- és 
vírusadatállomány-frissítés, valamint a sú- 
gó. Elindítható innen a beállítások és min- 
dennemű művelet elvégzésére használatos 
programablak is, a működési információk 
lehetőséggel pedig a pajzs 


— em ] 


Az időzített víruskeresés megadására szolgáló ablak 


felismeri a hálózatra kötött gépeket, és 
hogy a hálózat terhelése ne nőjön szá- 
mottevően, különböző időpontokban 
végzi el a frissítést. 
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dik. Ha azonban már 
hozzászoktunk, kiderül, 
hogy igen meggyorsítja a 
lehetőségek elérését. Ugyanezt a funkciót 
látja el az úgynevezett választólista, amely 
lényegében a Shortcut Bar szöveges meg- 
felelője, kiegészítve egy, a keresési terület 
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SZOFTVER 


Adatbázis vonala 


4 Ny törte sareső 


oldalas, PDF formátumú 
felhasználói kézikönyvet. 
Bár a legtöbb felhasználó- 
nak nem kell változtatnia a 


1 GB vaStvold védelem 
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víruskereső alapbeállítása- 
in, aki mégis módosítani 
akar valamit, alig ütközik 
nehézségekbe. Egy furcsa- 
ságot találtunk: ha cserél- 
hető hordozójú meghajtót 


nek időpontját mutató párbeszédablakból 


Működési információk 


"Budapest 17-25. Magyerország 
Teleton 36) 0) 382700 Fex (36) (1) 282. 7007 
"wwwszduster hu 


Az állandó védelmet nyújtó VBShield pajzs működését leíró 


táblázat 


megadására szolgáló könyvtárkezelővel. 
Egyszerre nem érdemes mind a választó- 
listát, mind a Shortcut Bart használni. A 
programablak alján jeleníthetjük meg az 
elvégzett feladatokat mutató műveletlistát, 
míg az ablak nagy részét a választólistán 
vagy a Shortcut Baron megadott lehetőség- 
hez tartozó párbeszédablak foglalja el. A 
műveletlistát, a választólistát és a Shortcut 
Bart a Nézet eszköztáron lévő ikonokkal 
jeleníthetjük meg, illetve tüntethetjük el. 
Az ablak tetején elhelyezkedő menü min- 
dig a rendelkezésünkre áll, az eszköztára- 
kat a Nézet menüben kapcsolhatjuk ki és 
be. A Beállítások menü tartalma helyzetér- 
zékeny, attól függően változik, hogy a vá- 
lasztólistán vagy a Shortcut Baron milyen 
lehetőséget jelöltünk ki. 

Csakúgy mint a programablak egésze, a 
párbeszédablakok is jól áttekinthetők, a 
beállítási lehetőségek világosak. Ez rész- 
ben annak köszönhető, hogy a magyar 
nyelvű kifejezések jól érthetők. Pofonegy- 
szerű az állandó védelmet nyújtó pajzs 
működési jellemzőinek beállítása, vala- 
mint a kizárandó útvonalak és a víruskere- 
sés célterületéül szolgáló meghajtók, illet- 
ve könyvtárak megadása. Aki mégsem ér- 
tene valamit, igénybe veheti a minden 
részletre kiterjedő súgót, vagy tanulmá- 
nyozhatja a VirusBuster webhelyéről le- 
tölthető, illusztrációkkal bőven ellátott, 47 
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Egy egérkattintással frissíthető a vírusadatbázis a készítésé- 


VBShield 9X védelem 


(például . CD-ROM-olva- 
sót) szeretnénk felvenni a 
kizárandó útvonalak listá- 
jára, ezt csak akkor engedi 
meg a program, ha a meg- 
hajtóban lemez is van. 
Alaphelyzetben a Virus- 
Buster automatikusan vizs- 
gálja a tömörítvényekben 
lévő állományokat is. 


Automatikus 
frissítés 

Mind a víruskereséshez, 
mind a programfrissítés- 
hez (ez történhet CD-ről, hálózatról vagy 
FTP-kiszolgálóról) létrehozhatunk időzített 
feladatokat, amelyek az általunk megadott 
időpontban végrehajtják a kívánt művele- 
tet. Így például előírhatjuk, hogy az üte- 
mező minden este 8 órakor végezzen ví- 
rusellenőrzést a C meghajtón, és minden 
reggel 7-kor frissítse a vírusadatbázist. Az 
adatbázis frissítése manuálisan, gombnyo- 
mással is kezdeményezhető: ha újabb vál- 
tozatot talál a program a VirusBuster FTP- 
helyén, automatikusan letölti azt. A karan- 
ténba zárt (nem írtható) vírusokat automa- 
tikusan ellenőrzi, és ha képes rá, írtja a ví- 
rusadatbázis frissítése után. Kérhető a ví- 
rusmentesített állományok visszaállítása is. 


Magyar nyelvű vírusleírások a VirusBuster webhelyén 


A programot ellátták beépített levelező- 
szolgáltatással, amelynek segítségével le- 
veleket küldhetünk (például baj esetén a 
VirusBuster Kft. támogatási csoportjának), 
miután konfiguráltuk a levelező kliensün- 
ket. Az üzenettovábbító modul az előre 
definiált naplóbejegyzések (például vírust 
talált a program) bekövetkezése esetén 
üzenetet küld a megadott e-mail-címre. 


Teljes körű támogatás 


A VirusBuster Kft. az év minden napjára 
kiterjedő, 24 órás támogatást nyújt a vírus- 
ellenes csomag használóinak. Ha nem si- 
kerül elhárítanunk a bajt, pár órán belül 
segítséget kaphatunk a cég szakemberei- 
től. Képesek a vírusadat-állomány napi 
frissítésére, amivel a legmagasabb szintű 
biztonságra törekvők igényeit is maximáli- 
san kielégítik. 

A cég webhelyén (www.virusbuster.hu) 
hasznos információkhoz juthatunk a víru- 
sokkal kapcsolatban. Magyar nyelvű tájé- 
koztatókat olvashatunk a vírusfajták (boot, 
állomány, makró, szkript, féreg és trójai) 
jellemzőiről, az ábécé-rendbe szedett ví- 
rusadatbázisban az egyes vírusok leírását 
találjuk, és tanácsokat kapunk arra vonat- 
kozólag, hogy mit kell tennünk adataink 
megvédése érdekében. Bekukkanthatunk 
a Magyarországon leginkább terjedő víru- 
sok havi toplistáiba, a vírushírek archí- 
vumban pedig havi bontásban találjuk a 
legújabb kártevők felbukkanásáról szóló 
tudósításokat. Külön fejezetet szenteltek 
az e-mailben terjesztett hamis figyelmez- 
tetéseknek (hoaxoknak), amelyek nem fer- 
tőznek ugyan, viszont felesleges pánikot 
keltenek. Aki ismeretlen vírusba botlik, 
elektronikus vagy postai úton elküldheti 
azt a VirusBuster Kft. víruslaborjába, hoz- 
zájárulva ezzel az ellen- 
szer mielőbbi megtalálá- 
sához. 

A VirusBuster különféle 
változatainak próbaverzi- 
óit egy rövid regisztrációt 
követően a webhelyről is 
letölthetjük. A windowsos 
kiadás letöltési mérete 
5,3, a friss vírusadatbázi- 
sé 1,5 Mbájt körül van. A 


30 napos, teljes körű 
használatra jogosító re- 
gisztrációs — kulcsot  e- 
mailben kapjuk meg. 

M. Cs. 
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Védelem a kapuban 
és mögötte 


A vállalati hálózatokban is egyre jobban elterjednek az 


IP-alapú technikák. Ez egyben azt is jelenti, hogy a cég 


szervere hasonló eszközökkel védhető meg mind a belső - 


azaz cégen belüli -, mind pedig a külső rosszindulattól. 


A Symantec komplett eszközkészletet kínál a védelem haté- 


kony megszervezésére. 


gyre több cég nyitja meg hálózatát a 
Ess felé. A nagyvilág felé nyi- 

tott rendszerek esetében jelentős 
biztonsági feladattá vált a potenciális belé- 
pési pontok védelme. 

Amennyiben nem egygépes, például ott- 
honi ,rendszerről" van szó, a belépési 
ponthoz odaültethetünk egy vagy több biz- 
tonsági őrt, akinek nincs más dolga, mint 
az itt folyó forgalom ellenőrzése. A kisebb 
hálózatok gazdáinak azonban megfele- 
lőbb, ha ,dobozos" termékkel, esetleg tá- 
volról felügyelt megoldással gondoskod- 
hatnak a határőrizetről. Ezek azok a hard- 
verelemként hálózatba csatlakoztatható 
appliance eszközök, amelyek közül néhá- 
nyat hazánkban is bemutatott a Symantec 
2002. júniusában, és amelyek részben az 
Axent egykori termékpalettájára alapozva, 
a ,Plug and Protect" fejlesztési stratégia 
eredményeként kerültek a piacra. 

A különböző méretű hálózatok védel- 
mére szolgáló, hardveresen egy Cobalton 
futó terméksor tagjai a Symantec Gateway 
Security, a Symantec Firewall/VPN App- 
liance, valamint a Symantec VelociRaptor. 
Ezek legújabbjaiból aszerint választha- 
tunk, hogy csak tűzfalat vagy ennél komp- 
lexebb megoldást akarunk-e telepíteni a 
rendszerünk védelmére. Operációs rend- 
szerként egy Symantec által némileg 
testreszabott Linux 2.2.x kernel szolgál, 
amelyen a Symantec Gateway Security 
esetében vírusszűrés is működik. 


WWW.computerpanorama.hu 


A nagyvállalati vírusvédelemre fejlesztet- 
ték ki a Symantec AntiVirus Enterprise 
Edition csomagot 


Ez a Symantec Gateway Security-val ka- 
pott Carrier Class AV, amelyben a koráb- 
ban más Symantec-eszközöknél megis- 
mert  NAVEX motor kap szerepet. A 
linuxos NAVEX motor már önmagában is 
figyelemre . méltó, mivel a Norton 
AntiVirusból . kiskereskedelmi, Linuxon 
használható termék nincs forgalomban. 
Így erre a platformra, otthoni használatra a 
Windows-os, illetve Macintosh gépekhez 
hasonlóan nem tudunk felszerelkezni a 
Symantec kínálatából. 

A nagyobb rendszerek szoftveres felsze- 
reléséhez azonban már kapható linuxos 
termék, mivel a közelmúltban jelentették 
be a Lotus Domino for Linuxra szánt vírus- 
elhárító megoldást, a Symantec AntiVirus 
2.5 for Lotus Notes/Domino for Linuxot. 
Ezzel a Solaris, az AIX, az OS/400 és az 
05/390 után az említett csoportmunka- 
szoftver valamennyi platformján lehetősé- 
günk van azonos termékkel megküzdeni a 
bináris kártevők ellen. 

A Unix-rendszerek szoftveres biztonsági 
támogatása már nem annyira újdonság a 


A hálózatok védelmére szolgáló egyik ha- 
tékony eszköz a Symantec Gateway 
Security 


Symantec termékeiben, mivel a nagyválla- 
latok szerveres platformjaira már korábban 
megjelentek a Windows mellett például a 
Solarisra is telepíthető szoftverek. Ezek kö- 
zött olyan tartalomszűrő eszközt is talá- 
lunk, mint például a Symantec Web 
Security 2.5, amellyel a hálózatos forga- 
lomból akár a weblapok és azok részegy- 
ségei szintjén is kiszűrhetjük azokat az in- 
formációkat, amelyeket nem kívánunk át- 
engedni a hálózat határán. 

Az internetes forgalom felügyeletére 
szélesebb körben alkalmazott szoftverala- 
pú rendszerek a tűzfalak. Közülük a már 
említett Symantec Firewall/V/PN 
Appliance külön hálózati hardverelem, de 
a tűzfal megvalósítására alkalmas megol- 
dás külön telepíthető és ,dobozos" szoft- 
verként is beszerezhető. Ilyen a Symantec 
Enterprise Firewall, amely teljes eszköz- 
gyűjteményt kínál a Windows- és Solaris- 
alapú rendszereken megvalósított határvé- 
delemre, mint ahogyan a Symantec 
Enterprise VPN lehetővé teszi a virtuális 
magánhálózat kialakítását. A nagyobb 
rendszerekben lényeges kérdés a nem kí- 
vánt forgalom kiszűrése és naplózása, de 
nem kevésbé lényeges a jogosult felhasz- 
nálók azonosítása is. A Symantec eszközei 
a Defender, a  Radius, a Digital 
Certificates, az LDAP és az NT domén- 
alapú jogosítványvizsgálati szabványait 
egyaránt támogatják. 

Természetesen a tűzfalakat a VPN- 
támogatáson kívül célszerű kiegészíteni a 
behatolási kísérletek szemmel követésével 
is. Amennyiben egy cégtől szeretnénk be- 
szerezni a teljes vállalati rendszert, a ko- 
rábbi komponenseket a Symantec Intruder 


Az internetes forgalom felügyeletére szol- 
gál a külön hardverelemként beszerezhető 
Symantec Firewall/VPN Appliance 
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HARBUER 


Immár Magyarországon is bemutatkozott a 
Symantec VelociRaptor hardvereszköz, 
amely a hálózatok biztonsága fölött őrkö- 
dik 


Alerttel, valamint a Symantec  Net- 
Prowlerrel kell kiegészítenünk. Az előbbi 
egy valósidejű, folyamatos ellenőrzést kí- 
nál, amely kiegészül a teljes rendszerre ér- 
vényes biztonsági előírások érvényre jutta- 
tásával. Az utóbbi pedig a felhasználói te- 
vékenységek folyamatos monitorozására 
alkalmas. 

Mindkét feladat egyébként a központi 
kezelhetőséget feltételezi a rendszergazda 
számára. Ez a támogatás az IA esetében a 
rendszerszintű eseménykövetés mellett a 
rendszerszintű válaszok beállítását is je- 
lenti, ami a jogosulatlan behatolások ész- 
lelésén kívül egyben jelentős korlátozás 
megvalósítását, a károk nagy részének 
megelőzését is lehetővé teszi. Platform- 
ként pedig a Windows NT mellett a leg- 


több kereskedelmi Unix-verziót, valamint 
a Novell NetWare-t is támogatja. 

Ahhoz pedig, hogy feltérképezzük a 
rendszerünk sérülékenységét, majd kezel- 
jük a feltárt problémákat, szintén több esz- 
köz közül választhatunk. A Unix, a Linux, 
a Windows 2000 és a NetWare rendszerek 
feltérképezésére . például egyaránt a 
NetRecont használhatjuk. A kezelés min- 
den esetben egy központi konzolról old- 
ható meg. A teljes rendszer ISO 17799 ala- 
pú kezeléséhez pedig rendelkezésre áll a 
Symantec Enterprise Security Manager, 
amelynek alkalmazásmoduljai képesek az 
egyes kritikus alkalmazások és operációs 
rendszerek vállalati szintű figyelemmel kí- 
sérésére. A frissítésre pedig itt is rendelke- 
zésünkre áll a LiveUpdate rendszer, amely 
az otthoni szoftverírissítések alapjául is 
szolgál. 

Az utóbbiak egyébként mintegy egygé- 
pes megfelelői a fentieknek, mint ahogyan 
a már említett Norton Antivirus is jó védel- 
met ad az otthoni eszközöknek, munkaál- 
lomásoknak, beleértve a levelekben terje- 


je Yma 


A Norton Antivirus Corporate Edition min- 
denfajta támadással szemben teljes védel- 
met kínál a vállalati hálózatok számára 


dő kártevők elleni védelmet is. A tűzfal- 
szolgáltatásokra pedig ott van a Norton 
Internet Security, amely különböző kisze- 
relésekben kapható, és amely valamelyest 
a tartalomszűrésben, illetve a személyes 
adataink védelmében is segít. A NIS dobo- 
za egyébként szintén tartalmazza a Norton 
AntiVirust is, mely alapvető védelmi se- 
gédeszköz a Norton SystemWorks cso- 
magban is megtalálható. 

Simay Endre István 


Több száz tipp, trükk és ötlet 
közel 50900 oldalan! 
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Ha a PC sztrájkolni kezd 
Windows-hibák nyomában 

A nyomtatóproblémák orvoslása 
Szkennergyakorlatok 

Tökéletes képmegjelenítés 
Megszelídített modemek 
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Dataplex 


robusztus, futurisztikus épület fe- 
As titokzatosan terül el Buda- 
pest szívében, nem messze a Kele- 

ti pályaudvartól. Látszólag elhagyatott a 
környék, nincs nagy ki-be járkálás. Az ide- 
látogatót azonban udvarias, ám annál szi- 
gorúbb őrség fogadja: a gépjárműveket át- 
vizsgálják, tükrökkel ellenőrzik az alvázat, 
majd robbanásbiztos betonpillérek között 
engedik útjára. Vajon mit őriznek itt ennyi- 
re? Az itt tevékenykedő Dataplex Kft. talán 
a gazdaság legnagyobb értékeinek, az in- 
formációs rendszereknek biztosít oltalmat. 
A hazai viszonylatban még kuriózum- 
nak számító, úgynevezett kolokációs szol- 
gáltatás valójában igen egyszerű: a Data- 


Kislexikon 


Kolokáció: Az USA-ból indult ötletet 
már több magyarországi szolgáltató is 
megvalósította. A kolokációs közpon- 
tok tulajdonképpen helyet biztosítanak 
egy cég vagy vállalkozás, hivatal vagy 
akár magánszemély infokommuniká- 
ciós eszközeinek, általában szerverei- 
nek. A biztonságos (fizikailag és szoft- 
veresen őrzött) épületben elhelyezett 
kiszolgálókhoz a független kolokációs 
központokban több távközlési szolgál- 
tató is kiépíti a szélessávú telekommu- 
nikációs kapcsolatot. A kolokációs köz- 
pontok másik fajtája szorosan kapcso- 
lódik egy-egy távközlési szolgáltatóhoz, 
és a helybiztosítás tulajdonképpen egy 
plusz szolgáltatás az ügyfeleknek. 

HRM: Human Resources Manage- 
ment, humánerőforrás- menedzsment; 
adatbázisába a cégek dolgozóinak sze- 
mélyes adatai, oktatása, képzése, a 
munkaerőszám-növelési, illetve csök- 
kentési stratégiák kidolgozásának ada- 
tai kerülhetnek. 

CRM: Customer Relationship Ma- 
nagement, ügyfélelégedettség-mene- 
dzselés; a szolgáltató cégek egyik leg- 
fontosabb értéke az elégedett - és 
ezért visszatérő, hűséges ügyfél. Az ő 
megtartásuk érdekében kidolgozott 
stratégiai adatok, adatbányászati ered- 
mények, adatbázisok képezik a CRM 
adatbázisának alapját. 

ERP: Enterprise Resource Planning, 
vállalati . erőforrás-tervezés; minden 
nélkülözhetetlen . adatot tartalmaz, 
amely egy vállalat működéséhez szük- 
séges (készlet-, eszköz-, anyagnyilván- 
tartás, vevők, beszerzési és eladási in- 
formációk stb.) 
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Szigorúan őrzött 
szerverkozpont 


Néhány éve még nem sokan hallottak az úgynevezett 


kolokációs szolgáltatásokról. A szerverközpontok 


biztonságos elhelyezése komoly invesztíciót igényel, ezt a 


feladatot jobb egy erre szakosodott cégre bízni. Ilyen 


vállalkozás például a Dataplex, amely ,bombabiztos" védel- 


met kínál mindenfajta informatikai infrastruktúra számára. 


plex adatközpontjában a cégek elhelyez- 
hetik szervereiket, és biztonságos, megbíz- 
ható infrastruktúrájú környezetben, a leg- 
korszerűbb IT eszközökkel alakíthatják ki 
fontos központi üzleti rendszereiket (ERP, 
HRM, CRM stb.). 

Az IT infrastruktúra azonban csupán az 
alap, amelyre a különböző emelt szintű 
szolgáltatások épülnek. Mint azt Felsmann 
Balázstól, a cég ügyvezető igazgatójától 
megtudtuk, a február óta a Béres Befekte- 
tési Rt. többségi tulajdonában álló Data- 
plex az elmúlt öt hónapban több szolgálta- 
tást vezetett be, mint azelőtt összesen, a 
korábbi tulajdonos idejében. A Dataplex 
egyébként az egyetlen távközlési szolgál- 
tatóktól független hazai kolokációs köz- 
pont. Kabay Panna, a cég értékesítési me- 
nedzsere kalauzol végig a modern , erődít- 
ményben". Tartsanak velünk. 


Mint a filmekben 


A szigorú, reptérihez hasonló beléptetés 
után megtudjuk, hogy a legnagyobb hazai 
adatközpontban járunk. A 8800 négyzet- 
méteres alapterület jól felosztható: egyet- 
len rack-szekrénytől kezdve akár 1000 
négyzetméteres, az adott céghez rendelt, 
elkülönített területet is ki lehet bérelni. 

Megkétszerezett, biztonságos alállomá- 
sokon keresztül érkezik a városi hálózatról 
az áram, de az épületnek saját, önálló 
áramellátása is van: áramszünet idejére dí- 
zelgenerátorok is bevethetők, ezen felül 
szünetmentes áramforrások (UPS-ek) is 


Fehér erődítmény a város szívében 


gondoskodnak a maximálisan mintegy 8 
MW-os teljesítmény folyamatos meglété- 
ről. Az akkumulátorok végeláthatatlan so- 
ra meggyőzi a látogatót: a kisvárosnyi ára- 
mot fogyasztó létesítmény nem szenved 
energiahiányban. 

Füstérzékelők, klímaberendezések, biz- 
tonsági kamerák mindenhol, rezgés-, ajtó- 
nyitás- és mozgásérzékelők, biometrikus 
azonosítók, mágneskártyás beléptetők — és 
ez csak néhány a védelmül szolgáló be- 
rendezésekből. 

A biztonságos szerverekből szélessávú 
kapcsolaton keresztül jönnek-mennek az 
adatok: a Dataplexhez gyakorlatilag vala- 
mennyi jelentős hazai távközlési szolgálta- 
tó kiépített üvegszál-optikás csatlakozást, s 
ez azt jelenti, hogy tulajdonképpen korlát- 
lan sávszélességgel lehet csatlakozni a vi- 
lághálóhoz. A költségek miatt sem kell ag- 
gódni, a szabad választás a távközlési szol- 
gáltatók között egyben a legkedvezőbb tari- 
fák kiharcolásának lehetőségét is jelenti. 

Az alapszolgáltatások között szerepel a 
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Szigorú beléptetési rendszer állja útját az 
autósoknak 


terület biztosítása, a megfelelő tartalékokkal 
kialakított áramellátás, a légkondicionálás, a 
hatékony tűzészlelés és -oltás, illetve a fo- 
lyamatos biztonsági és műszaki szolgálat. 
Ezekre épülnek a Dataplex értéknövelt szol- 
gáltatásai: az üzemeltetési lehetőségek, az 
adattárolók elhelyezése, megőrzése és cse- 
réje, az üzletmenet folytonossági szolgálta- 
tás, illetve a tárterület bérleti szolgáltatás. 

Az ügyfelek számára nagy előny, hogy a 
vállalkozásuk növekedésével roppant rugal- 
masan bővíthetik a bérelt területet, vagy vál- 
toztathatják az igénybevett szolgáltatásokat. 

Az ügyfelek skálája roppant széles: a 
távközlési, illetve internet-szolgáltatóktól 
(ISP-ktől) a legkülönbözőbb vállalkozáso- 
kig terjed. Az utóbbi időben egyre több 
nagyvállalat és multinacionális cég kerít 
sort például úgynevezett szerverkonszoli- 
dációra, azaz helyezi egységes hardver- és 
szoftveralapokra az országban esetleg el- 
szórtan elhelyezkedő egységei eltérő infor- 
matikai rendszereit. 


Diszkek vészhelyzetben 


A Dataplex adatközpontjában — ez min- 
den szerverhotelben alapszolgáltatás — 24 
órás mérnöki felügyelet és folyamatos 
ügyféltámogatási rendszer gondoskodik a 
percre sem szünetelő üzemeltetésről, illet- 
ve az esetleges hibák gyors kijavításáról. 
Az itt elhelyezett szerverek felől tehát nyu- 
godt lehet a vállalat vezetője, amit az 
utóbbi hónapok-évek néhány sajnálatos 
eseménye is bizonyít. 

Prágában például az augusztusi árvíz 
miatt szerverparkokat kellett leállítani, a 
WTC-tragédia idején cégek komplett adat- 
bázis-állományai  semmisültek meg, de 
sajnos nem kell ilyen messzire mennünk 
hasonló esetekért: tavaly télen Budapesten 
kiégett egy optikai cikkekkel kereskedő 
cég irodája, s a lángok martaléka lett a fon- 
tos adatokat tároló winchester is. 
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Itt lép színre az úgynevezett üzletmenet 
folytonossági szolgáltatás (Business Conti- 
nuity, BC), amellyel elsősorban azok a cé- 
gek élhetnek, amelyeknek az adatvesztés 
egyben tetemes haszonkiesést is jelenthet 
(például bankok, pénzintézetek, biztosí- 
tók, multik stb.). 

A szolgáltatás különböző szinteken va- 
lósulhat meg: egyszerűen az ügyfél kérésé- 
irodai felszerelést biztosítanak, vagy akár 
az online kapcsolat segítségével folyama- 
tosan tükrözik a vállalati rendszereket, és 
vész esetén azok pontos mása várja a 
munkatársakat a központban. 


Világelső adatkicserélő 


A február óta a Dataplexnél működő, 
Magyarország első kereskedelmi Internet 
Exchange központjában az internet- szol- 
gáltatók gyorsan, hatékonyan, az úgyneve- 
zett peering szolgáltatás keretében tudják 
kicserélni adataikat. A PAIX. net Inc. Euró- 
pában elsőként itt honosította meg Layer 2 
kapcsolástechnikai infrastruktúráját, inter- 
net-kapcsolati . lehetőségeit és a cég 
peering szolgáltatásait. 

A ,Peering by PAIX" ötlet arra épült, 
hogy regionálisan nem létezett megbízható 
kereskedelmi . internet-kicserélő központ, 
bár erre komoly igény mutatkozott, elsősor- 
ban a távközlési, — illetve — internet- 
szolgáltatók részéről. A szolgáltatás lényege 
az, hogy a nagyobb felhasználók egy portot 
vásárolnak az eszközön, és helyben kicse- 
rélhetik egymást között az adatokat. A má- 
sodpercenként akár 1 gigabit sebességű 
Ethernet port által biztosított sávszélesség- 
gel és átviteli kapacitással kereskedhetnek 
is az ide csatlakozó ISP-k. Ez nemcsak 
gyorsítja az internetezést, ami ma már alap- 
követelmény, de a szabályozásnak köszön- 
hetően kizárt a kalózkodás, a vírusterjesz- 
tés, illetve a spam levelek küldése és foga- 
dása is. Ráadásul a kapcsolat megbízhatóvá 


Ezekben a cellákban helyezik el az eszközö- 
ket 


Dataplex történelem 


A CityReach befektetési csoport épí- 
tette és adta át 2000 decemberében a 
világ legkorszerűbb technológiai fel- 
szereltségével bíró budapesti szerver- 
hotelt. Az azóta csődbe ment cégtől a 
Béres Csoporthoz tártozó Dataplex Kft. 
idén januárban stratégiai befektetés- 
ként vásárolta meg annak eszközeit, 
és vette át személyi állományát. Idén 
júliusban 359 millió forintos tőókeeme- 
léssel hosszú távra biztosította a 
Dataplex megbízható működtetését és 
piacvezető szerepének megőrzését. 


válik, hisz a helyi internet-kicserélő köz- 
pont leállása esetén nem kell leterhelni a 
kimenő nemzetközi sávszélességeket a he- 
lyi internetes adatforgalommal. 

Ez a budapesti cég: akár a közép- 


Az oltógáz nem tesz kárt a merevlemezek- 
ben 


kelet-európai régió adatkicserélő központ- 
jává is válhat a Dataplex kapacitását és ki- 
használtságát figyelembe véve. 


Mégis, kinek az üzlete? 


Felsmann Balázs, a Dataplex ügyvezető- 
je szerint idén év végére éri el a cég a költ- 
ségek megtérülését, és jövőre már 650 mil- 
lió forintos éves bevétel mellett tisztes ha- 
szonra is számítanak. 

A partnereikkel a tárgyalások megkezdése 
és a szerződéskötések között meglehetősen 
hosszú idő telik el, de a kezdeti nehézségek 
után partnerszámuk szépen emelkedik. 

A nemrégiben történt 359 milliós tőke- 
emelés, az ügyvezető személye (F. B. a Bé- 
res Befektetési Rt. igazgatótanácsának is 
tagja) mind azt bizonyítják, hogy a Béres 
komoly stratégiai befektetésként kezeli a 
Dataplexet, s ez mind a dolgozók, mind 
az ügyfelek számára megnyugtató hátteret 
jelenthet. F. Fülöp Hajnalka 


Horeg Kft. 


Noreg  Információvédelmi Kft. 
Assers 1998-ban alakult, 

fő tevékenysége a sérülékenység- 
vizsgáló és behatolás-észlelő szoftverek te- 
rületén piacvezető Internet Security Sys- 
tems (ISS, www.iss.net) termékeinek for- 
galmazása, telepítése, valamint a felhasz- 
nálók oktatása volt. 1999 októberétől a 
cég a Montana Rt. leányvállalataként mű- 
ködik. 2001 májusában a Montana teljes 
információvédelmi részlege a Noreghez 
került át, s ennek köszönhetően ma már 
mindenre kiterjedő  információvédelmi 
szolgáltatásokat tudnak nyújtani. Tevé- 
kenységeiket két üzletágba szervezték. Az 
IT biztonságtechnikai üzletághoz az ISS 
termékeire épülő szolgáltatások mellett a 
biztonságos hálózati kommunikáció, a 
hozzáférés-védelem, a vírus- és tartalom- 
szűrés, a rejtjelezés, az elektronikusalá- 
írás-hitelesítés területei és az ezekhez kap- 
csolódó oktatás tartozik, míg a tanácsadói 
üzletág információbiztonsági auditálással, 
biztonsági stratégiák, szabályzatok kidol- 
gozásával és tanácsadással foglalkozik. Az 
év elejétől a Noreg az ISS hivatalos oktató- 
központjaként működik, ahol a partnercég 
előírásai szerint folyik az oktatás, és hiva- 
talos képesítés szerezhető. 


Tervszerű megelőzés 


Az ISS termékeire épülő szolgáltatások 
alapvetően két részre bonthatók: a sérülé- 
kenység-vizsgálatra és a behatolás-észle- 
lésre. A sérülékenység-vizsgálat során a 
SAFEsuite biztonságmenedzselő platform- 
hoz tartozó szoftverekkel térképezik fel az 
informatikai rendszer gyenge pontjait. A 
programok egy  veszélyforrás-adatbázis 
alapján dolgoznak, amelyet az ISS mint- 
egy 100-fős X-force (xforce.iss.net) gárdá- 
ja rendszeresen bővít a folyamatosan nyil- 
vánosságra kerülő programhibákkal, sérü- 
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A biztonsági szoftverek vezető fejlesztőjeként ismert ISS ter- 


mékeit forgalmazó Noreg Kft. teljes körű információvédelmi 


szolgáltatást, tanácsadást és oktatást kínál ügyfeleinek. 


lékenységi pontokkal, hacker módszerek- 
kel. 

Az Internet Scanner afféle jóindulatú 
hackerként kívülről teszi próbára a vizsgált 
rendszert. Szondázza a kommunikációs 
szolgáltatásokat, az operációs rendszere- 
ket, a kulcsfontosságú alkalmazásokat és a 
routereket, olyan sérülékenységek után ku- 
tatva, amelyek támadások célpontjai lehet- 
nek. 


Az Internet Scanner részletes jelentései jól 
áttekinthető formában közlik a rendszer 
vizsgálata során szerzett információkat 


Belső vizsgálatokra használatos a 
System Scanner, amelynek ügynökeit a 
Unix vagy Windows NT hálózat gazdagé- 
peire telepítik. Ez áttekinti a jogosultságo- 
kat, a jelszóbeállításokat, és tanácsokat ad 
arra vonatkozólag, hogy milyen javítások 
szükségesek, illetve milyen szigorításokat 
kell életbe léptetni. 

Oracle, Microsoft SOL és Sybase adatbá- 


zisok jogosultságkezelésének, hitelességé- 
nek és sértetlenségének biztonsági elemzé- 
sét végzi a Database Scanner. Azonosítja és 
jelenti a biztonsági politikától való eltérése- 
ket és a veszélyforrásokat. Részletes beszá- 
molót készít, amelynek alapján helyesen 
konfigurálhatók és biztonságosabbá tehe- 
tők az adatbázis-kiszolgálók. 

A vezeték nélküli hálózatok sérülékeny- 
ségének vizsgálata új színfolt az ISS palet- 
táján. A vállalatoknál mostanság divatba 
jövő vezeték nélküli kapcsolódás rendkí- 
vül elegáns és kényelmes megoldást kínál 
a hálózatépítésre. Nincs szükség kábele- 
zésre, a felhasználó leül az íróasztalához, 
bekapcsolja a gépét, és az épületben elhe- 
lyezett adó-vevőn keresztül automatikusan 
rákapcsolódik a hálózatra. Ahogy azon- 
ban lenni szokott, a gyártók elsősorban a 
technológia működőképességének biztosí- 
tására törekszenek, és a biztonsági kérdé- 
sekkel nem sokat törődnek. Hiába van egy 
cégnek többmilliós értékű tűzfala, ha ezt 
egy vezeték nélküli porton keresztül meg 
lehet kerülni, az egész nem ér semmit. Az 
ISS válasza erre az új kihívásra a Wireless 
Scanner, amely a vezetékes hálózatoknál 
használt szkennerekhez hasonlóan teszteli 
a hálózat sérülékenységét. 


Folyamatos őrzés 


A különféle szkennerek pillanatfelvételt 
készítenek a rendszer állapotáról, amelyet 
kiindulási pontként lehet használni. A mai 
informatikai rendszerek azonban állandó 
figyelést igényelnek, hiszen nap mint nap 
fény derül valamilyen programhibára, sé- 
rülékenységre vagy új hacker-technoló- 
giára. A RealSecure behatolás-észlelő 
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Vezeték nélküli hálózatok sérülékenységét 


szenzorok veszély esetén automatikusan 
beavatkoznak, és megakadályozzák, hogy 
a támadó kárt okozhasson. Támadáskor 
többféle dolgot tehetnek: például riaszt- 
hatnak, megszakíthatják a kapcsolatot, át- 
konfigurálhatják a tűzfalat, vagy kitilthat- 
ják a támadót a rendszerből. 

Tűzfalak előtt, mögött, behívó eszkö- 
zöknél telepítve hálózati szegmensek tel- 
jes forgalmának figyelésére szolgál a 
Network Sensor. Egy adott gazdagép bejö- 
vő és kimenő forgalmát vizslatja a gazda- 
gépre telepített Server Sensor. A szenzorok 
központi vezérlését, konfigurálását, beszá- 
molók készítését és riasztások kiadását 
végzi a Workgroup Manager. 

Annak érdekében, hogy a behatolás-vé- 
delem ne terhelje le túlságosan a kiszolgá- 
lókat és a hálózatot, célszerű a figyelést 
azokra a különféle okokból — például nem 
jelent még meg a javítás, vagy a sérülé- 
kenység befoltozása zavarokat okozna a 
működésben - nem megszüntethető sérü- 
lékeny pontokra irányítani, amelyeket a 
sérülékenység-vizsgálat felfedett. Nincs ér- 
telme ugyanis olyan támadások kivédésére 
felkészülni, amelyekről biztosan tudjuk, 
hogy semmi esélyük a behatolásra. 

Másfelől azonban a sérülékeny-vizsgálat 
során rengeteg információ keletkezik, ki- 
derülhet például, hogy az egyik szerveren 
száz sérülékenység található, egy másikon 
pedig csak kettő. Első látásra úgy tűnik, 
hogy minden védelmet a lényegesen sérü- 
lékenyebb kiszolgálóra kell összpontosíta- 
ni. Ha viszont a behatolás-detektálás azt 
állapítja meg, hogy a száz sérülékenységet 
soha nem támadja senki, a másik kettőnél 
viszont állandóan próbálkoznak, akkor 
egészen máshogy fest a helyzet. Ezért 
olyan eszközök kellenek a biztonsági me- 
nedzserek kezébe, amelyek segítenek ki- 
hámozni az érdemi információt a keletke- 
ző adathalmazból. 

Az ISS két megoldást kínál ezen a terüle- 
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vizsgálja a Wireless Scanner 


ten. A nagyvállalatok számára készült 
SafeSuit Decisions a különböző forrásból 
származó  sérülékenységi,  tűzfal- és 
behatolásvédelmi információkat adatbá- 
zisba gyűjti, amelynek alapján korrelációs 
jelentések készíthetők. Ezek megmutatják 
azokat a gyenge pontokat, amelyekre a vé- 
delmet összpontosítani kell. Hasonló szol- 
gáltatásokat kínál a kisebb cégek számára 
az olcsóbb Site Protector rendszer, amely- 
nek hatásköre egyelőre csupán az ISS ter- 
mékeire, azon belül is az Internet 
Scannerre és a behatolás-észlelő szenzo- 
rokra terjed ki. 


Desktop védelem 


A kiszolgálók és a teljes hálózat védelme 
megoldott a Network Sensor és a Server 
Sensor révén, de mi a helyzet az egyre több 
értékes információt tároló munkaállomá- 
sokkal? Egy vezető beosztású alkalmazott 
otthoni gépén vagy notebookján éppolyan 
fontos információk találhatók, mint a szigo- 
rúan védett szervereken. Amikor aztán az 
illető védtelen vagy csupán egy egyszerű 
személyi tűzfallal védett gépével rácsatla- 
kozik az internetre, könnyű prédájává vál- 
hat a hackereknek. És ha feltört gépével egy 
egyébként igen biztonságos virtuális ma- 
gánhálózaton keresztül lép be a munkahe- 
lyi hálózatba, a behatoló ellenőrzése alá 
vonhatja a teljes hálózatot is. 

A teljes körű védelem kialakítása érde- 
kében az ISS tavaly megvásárolta az aszta- 
li gépekre szánt Blacklce személyi behato- 
lás-védelmi és tűzfalmegoldást fejlesztő 
Network Ice céget. A vállalati környeze- 
tekben való alkalmazhatóság érdekében 
kiegészítette a programot központi vezé- 
relhetőséggel, és jelenleg folyik ennek az 
illesztése a meglévő  behatolás-észlelő 
szenzorok központi vezérléséhez. A 
Desktop Protection névre keresztelt ter- 
mék központilag vezérelhető, konfigurál- 


ható és frissíthető, a program a begyűjtött 
információkat a központba továbbítja, míg 
veszély esetén önállóan tud beavatkozni, 
akkor is, ha éppen nincs kapcsolatban a 
központi vezérléssel, a felhasználó közre- 
működése nélkül. 

A személyi tűzfalaknál és behatolás-de- 
tektáló programoknál gondot jelent, hogy 
a többnyire hozzá nem értő felhasználó- 
nak kell beállítani és kezelni őket. Ez vál- 
lalati környezetben nem biztonságos, és 
nem is lehet elvárni a munkatársaktól, 
ezért van szükség a központi felügyeletre. 
Magyarországon is terjed a távmunka, így 
a desktop védelem egyre nagyobb érdek- 
lődésre tarthat számot a cégek körében. 


Kettőzött páncélzat 


Összefoglalásképpen tekintsük át, ho- 
gyan történik az ISS eszközeivel egy válla- 
lat biztonsági rendszerének a javítása. Két 
fő tevékenységet különböztethetünk meg. 
Az egyik egy folyamatosan zajló tervszerű 
megelőző munka, amelynek során feltér- 
képezik és kijavítják a sérülékenységeket. 


ÖINTERNETISECURITYISYSTEMSI 


A legfrissebb riasztások a hecker-ellenes 
kommandó, az X-Force webhelyén 


Amikor egy cégnél először történik sérü- 
lékenység-vizsgálat, rengeteg hiányosságra 
derül fény, amelyeket mind ki kell javítani. 
Ez az úgynevezett  rendszererősítési 
(hardening) folyamat, amely egy idő után 
eljut arra a szintre, amikor a szkennerek 
már nem találnak csak egy-két alacsony 
vagy közepes prioritású sérülékenységet, 
amellyel együtt lehet élni. A következők- 
ben a feladat a szinten tartás, amely továb- 
bi rendszeres ellenőrzést igényel. Ennek az 
egyik oka az, hogy változik az környezet, 
például újabb gépek, szoftverek kerülnek 
a hálózatba, aminek eredményeképpen 
újabb biztonsági rések jelenhetnek meg. A 
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Noreg Kft. 


másik ok az, hogy állandóan újabb sérülé- 
kenységekkel bővül a szkennerek adatbá- 
zisa az ISS X-force csapata jóvoltából. A 
szinten tartás jóval kevesebb munkával jár, 
mint a hardening. 

Párhuzamosan működik a másik fő tevé- 
kenység, a valós idejű behatolás-detektá- 
lás, amely folyamatosan figyeli, hogy mi 
történik az adott környezetben, milyen 
módon sértik meg a biztonsági politikát. 
Minden támadást feljegyez, nem csak azo- 
at, amelyek a sérülékenységek ellen irá- 
nyulnak. Veszély esetén automatikusan 
beavatkozik, és különféle módszerekkel 
megakadályozza a károkozást. Természe- 
tesen száz százalékos biztonság nem léte- 
zik, a megrendelőnek kell eldöntenie, 
hogy adatainak biztonsága milyen szintű 
beruházásokat ér meg neki. 

Érdemes megemlíteni, hogy a statiszti- 
ák szerint a sikeres támadások mintegy 
70 százaléka belülről jön. Nem az internet 
jelenti tehát a legnagyobb veszélyt egy in- 
formatikai rendszerre, annak ellenére, 
hogy a legnagyobb publicitást kapó sike- 


res támadások, például a látványos hon- 
lap-feltörések szinte egytől egyig a világ- 
hálóval kapcsolatosak. Egy elbocsátott al- 
kalmazott vagy egy, a rendszerhez valami- 
lyen megbízás kapcsán korábban hozzáfé- 
rő, elégedetlen alvállalkozó lényegesen 
nagyobb károkat tud okozni, mint egy ér- 
zelmileg közömbös hacker. 


Biztonságtechnikai audit 


Minden technikai megoldás akkor mű- 
ködik a leghatékonyabban, ha mögötte 
egy szabályozott környezet található. En- 
nek kialakítása egy cégnél úgy kezdődik, 
hogy megvizsgálják, milyen információk 
birtokában vannak, ezeknek mi az értéke, 
megóvásuk érdekében indokolt-e pénzt 
költeni védelmi megoldásra, és ha igen, a 
védelem milyen szintű legyen. A Noreg ta- 
nácsadói üzletága ehhez nyújt hathatós 
segítséget azzal, hogy kockázati szem- 
pontból megvizsgálja a megrendelő infor- 
matikai rendszerét. A vizsgálathoz a BS 
7799-es nemzetközi szabványt használ- 


ják, amelynek létezik ISO változata is, 
17799-es szám alatt. Az ennek alapján el- 
készült szabályozás hiteles biztosítékot je- 
lent arra, hogy a cég megteremtette a biz- 
tonságos működés feltételeit. 

A cégek alapvető célja az üzleti folya- 
matok biztonságossá tétele, ezt a filozófiát 
követve először azt mérik fel a Noreg 
szakemberei, hogy milyen üzleti tevékeny- 
ségek folynak a megrendelőnél, és ezeket 
hogyan valósítják meg. A következő lépés- 
ben azt határozzák meg, hogy milyen koc- 
kázatokkal járnak ezek az üzleti folyama- 
tok, és megoldást adnak a kockázatok mi- 
nimalizálására, amelyet egy információvé- 
delmi kézikönyv rögzít. 

A végső döntés a megrendelő kezében 
van. Határozhat úgy, hogy a biztonsági 
szabályzatok kidolgozása és betartatása 
megfelelő védelmet nyújt adatai számára, 
kérhet bizonyos időközönkénti sérülé- 
kenység-vizsgálatot a rendszerben lévő tá- 
madható pontok kiszűrésére, és választ- 
hatja a legmagasabb szintű védelmet nyúj- 
tó behatolás-detektálást. M.Cs. 


A CD másolás fortélyai 
CD-írók tesztje 

121 tipp, trükk, ötlet 
CD-író programok 
CD-borítók házilag 
Boot-CD készítése 
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Social Engineering típusú vizsgálat 
A: a szakértők — színészek, mé- 

diában gyakorlatot szerzett kom- 
munikációs szakemberek — elsősorban ar- 
ra a kérdésre keresik a választ, hogy a 
,megtámadott" cég munkatársaival folyta- 
tott beszélgetések során mennyi érzékeny 


a imára Mán team dat 3 
002932 üvem ültem jei 38-38 
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A telnet ügyfelei a szolgáltatások gazdag 
választékából meríthetnek 


műszaki információhoz juthat hozzá az 
esetleg rossz szándékú támadó. Ezután 
már technikai jellegű vizsgálatok során de- 
rítik ki a magas műszaki felkészültségű 
munkatársak, hogy a megszerzett informá- 
ció segítségével milyen technikai mélysé- 
gekig sérülhet az ügyfél számítógépes 
rendszere. 

Az első ilyen vizsgálat átütő sikert ho- 
zott. Az ,áldozat", egy közelebbről meg 
nem nevezett hazai nagybankunk szakem- 
berei a következtetések levonásával úgy 


telnet Magyarország Rt. 


Az 1996-ban alapított telnet Magyar- 
ország At. egyike a legnagyobb hazai 
internetes társaságoknak. Tevékenysé- 
gei közé tartozik az internet hozzáfé- 
rés-szolgáltatás, a tartalom- és web- 
site-fejlesztés és kezelés, továbbá a 
hálózati biztonságtechnika, elsősorban 
a közepes és nagyvállalatok, illetve 
internetes cégek számára. A telnet 
Magyarország Rt. tulajdonában van a 
stop!, az egyik legnépszerűbb hazai ál- 
talános portál. Főbb ügyfelei közé tar- 
tozik a CIB Bank, a Colliers, a Con- 
corde Direct, a Danubius Rádió, az 
EMI Music, a GlaxoSmithKline, a HBW 
Express, a HypoVereinsBank, az IBM 
Magyarország, a Klubrádió, a Pannon 
GSM, a Portfolio.hu, a Roxy Rádió, a 
Sun Microsystems és a Well. 


telnet: Social ENgÍNeering 


A leggyengébb 
láncszem 


A nemzetközi biztonságtechnikai piacon elvétve már 


alkalmazott informatikai biztonsági vizsgálatot végzett az 


egyik hazai nagybanknál a telnet Magyarország Rt. 


informatikai biztonság divíziója. A technikai információkkal 


megtámogatott adatvédelmi szakemberek ezúttal nem a 


megszokott informatikai úton, hanem a ,leggyengébb 


láncszem" - az ember - hibáinak kihasználásával szimuláltak 


hacker-támadást. 


(a rem 


A Security.hu nem más, mint a telnet infor- 
matikai biztonság divíziója 


tudták nagymértékben megnövelni a biz- 
tonságot, hogy az eddig felderítetlen terü- 
let kockázatait pontosan felmérve, felesle- 
ges költségek nélkül a leghatékonyabb vé- 
delmi struktúrát alakíthatták ki. 
Amerikában és az évszázados banki ha- 
gyományokkal (is) büszkélkedő nyugati 
demokráciákban komoly múltja van en- 
nek a fajta tevékenységnek. Az e módszert 
alkalmazó sikeres hackerek közül a legis- 
mertebb talán Kevin Mitnick, akit több ál- 
lam számítógépes rendszereibe való beha- 
tolásért ítéltek el 1995-ben. Módszerének 


A Stop! ma is a leglátogattottabb portálok 
egyike 


az a lényege, hogy az emberi hiszékeny- 
ség és bizalom kihasználásával, valamint a 
megszerzett informatikai ismeretek birto- 
kában súlyos anyagi kárt lehet okozni a 
profitorientált vállalatoknak és a kormány- 
zati intézményeknek is. 

A telnet Magyarország Rt. meglévő part- 
nerei már az előzetes információk alapján 
is élénken érdeklődtek a szolgáltatás iránt, 
így a cég már a bevezetést követő hetek- 
ben is számos hasonló vizsgálat elvégzé- 
sére kapott megbízást. 

Kövesi Orsolya 
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PingwiNet HSS 


vállalatok adatállományát fenyege- 
A: hackerek egy része nem okoz 

különösebb kárt: a rendszer feltö- 
rése után elkönyvelik a sikert, majd tájé- 
koztatják a rendszergazdát a felfedezett hi- 
báról. Többnyire találomra választják ki a 
célrendszert, és egyedül dolgoznak. 

A másik csoportba tartozó hackerek an- 
nál kártékonyabbak: adatokat töltenek le a 
feltört rendszerről, lecserélik a webolda- 
lakat, és hátsó bejáratokat alakítanak ki, 
hogy a későbbiekben vissza tudjanak térni 
akkor is, ha kijavították a rendszer hibáit. 
Sok esetben a feltört rendszereket átjáró- 
nak használják egy nagyobb betörés fede- 
zésére. Általában csoportosan hajtják vég- 
re akcióikat, előzetes felmérés alapján vá- 
lasztják ki a célrendszert, és nagy nyilvá- 
nosság előtt hirdetik önmagukat. 

Tudásszintjük alapján ugyancsak osztá- 
lyozhatjuk a hackereket. Az úgynevezett 
script kiddyk a mások által megtalált és 
nyilvánosság elé tárt hibákat használják ki. 
Átvizsgálják a célrendszert, és ha a rend- 
szergazda nem tud a hibáról vagy nem ja- 
vította ki azt, megpróbálnak bejutni a 
rendszerbe. Általában nem ismerik jól a 
célrendszert, így elég sok nyomot hagynak 
maguk után, és előfordulhat az is, hogy 
akaratlanul rendszerösszeomlást idéznek 
elő. Sok időt töltenek a feltört a rendszer- 
ben az illegális jogosultságokkal, és több- 
ször visszatérnek. 

Az elit osztályba tartozó hackerek ma- 
gas szinten ismerik az alapvető programo- 
zási nyelveket (Assembler, C, Delphi) és az 
operációs rendszereket. Hibák után kutat- 
nak az új rendszerekben, programokban, 
és a felfedezett hibákat többnyire ők publi- 
kálják a különböző biztonsági fórumokon. 
A célrendszert saját tudásuknak megfelelő- 
en választják ki előzetes tanulmányozás 
alapján. Legtöbbször a saját maguk által 
felfedezett hibákat kihasználva törik fel a 
rendszert, és szinte teljesen nyomtalanok 
maradnak. Megkeresik a számukra fontos 
információt, letöltik, majd távoznak. Mivel 
felsőfokon értenek a célrendszer operációs 
rendszeréhez, véletlenül sem okoznak 
összeomlást. 

Mindkét hackertípus komoly veszélyt je- 
lent. Ha a rendszergazda biztonsági szem- 
pontból naprakészen karbantartja a rábí- 
zott rendszert, akkor a script kiddyk nem 
okozhatnak gondot. Az elit osztályba tar- 
tozókkal alapvetően más a helyzet, mivel 
ők mindent megtesznek annak érdekében, 
hogy bejussanak, és igen rövid idő alatt si- 
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Emberközpontú 
védelem 


Nem múlik el nap, hogy ne hallanánk hacker-támadásokról. 


A vállalatokat érzékenyen érinti, ha bizalmas adataik 


elvesznek vagy kitudódnak. A kis és közepes cégeknek a 


hazai fejlesztésű PingWilNet HSS biztonsági rendszer nyújt 


hatékony védelmet az illetéktelen behatolók ellen. 


kerrel is járnak. Náluk a lebukás veszélye 
minimális, nem úgy mint a script kiddyk 
esetében. 


Védekezési eszközök 


Mind teljesítményben, mind árban szé- 
les skálán mozognak a piacon kapható 
biztonsági megoldások. Legtöbbször ope- 
rációsrendszer-függőek, —— leggyakrabban 


Windows NT-hez és 2000-hez készülnek. 
Sok cég foglalkozik úgynevezett bizton- 


A PingWIlNet saját biztonsági rendszerét 
ajánlja a kis és közepes vállalatoknak 


ságtechnikai audittal, amely az ügyfél 
rendszerének. átvizsgálását jelenti. Meg- 
próbálják megkeresni a rendszerben lévő 
hibákat, réseket, és kijavítják őket. A biz- 
tonságtechnikai audit történhet úgy is, 
hogy a rendszergazda letölt egy auditáló 
programot, amely ismeri a már felfedezett 
hibák nagy részét, majd e szoftver segítsé- 
gével átvizsgálja a hálózatát. 


Miután a megrendelő előzetes tájékozó- 
dás után kiválasztotta a neki megfelelő 
biztonságtechnikai megoldást, saját rend- 
szergazdájára bízza a telepítést, hangolást. 
Amennyiben kaptak vagy vásároltak ter- 
méktelepítési segítséget, akkor legfeljebb 
30 napig segítenek a telepítő személyzet- 
nek, a későbbiekben a rendszergazda gon- 
dozza, frissíti a rendszert. 

A biztonságtechnikai megoldások legna- 
gyobb hibája, hogy ezek a szoftverek bárki 
számára elérhetők, így a hackerek számá- 
ra is, akik megpróbálnak hibát találni ben- 
nük, és azt kihasználva bejutni azokba a 
rendszerekbe, amelyekben ezt a szoftvert 
használják. 

A másik nagy probléma az, hogy a szoft- 
vereket sok esetben nem biztonsági szak- 
ember gondozza, hanem egy erre a célra 
betanított rendszergazda. Ráadásul a cég- 
nél dolgozó munkatársak nagy része tudja, 
hogy milyen biztonsági szoftvert használ- 
nak, ami ugyancsak támadási felületet je- 
lenthet. Előfordulhat az is, hogy a rendszer 
biztonságát szinte a teljes használhatatlan- 
ságig fokozzák, vagyis a legtöbb kényelmi 
szolgáltatást, valamint az internet elérését 
szűrik, korlátozzák, tiltják. 


Biztonsági audit 


A PingWINet (www.pingwinet.hu) szak- 
emberei csak az audit kisebbik részét vég- 
zik az erre a célra kifejlesztett hibakereső 
szoftverrel. A vizsgálat nagyobbik része 
teljesen emberközpontú, ennek köszönhe- 
tően jóval nagyobb az esély arra, hogy a 
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rendszerben megbúvó hibákat felfedez- 
zék. A vizsgálatot az elit hackerosztály tu- 
dásával felvértezett szakemberek végzik, 
akik bizonyítottan jártasabbak ezen a té- 
ren, mint egy szoftver, amely közel sem 
tudja követni egy hacker gondolatmenetét. 

Első körben a rendszer hardver-összeállí- 
tását vizsgálják, a vizsgálat kiterjed a ki- 
emelt funkciókat ellátó eszközökre, a hu- 
bokra, switchekre, routerekre és kiszolgáló- 
gépekre. A hardvereszközöket azért szüksé- 
ges átvizsgálni, mivel a legtöbb egység (ki- 
véve a számítógép hardverelemeit) távolról 
menedzselhető, így jogosulatlan irányítás 
alá vonható. A kiszolgálógép esetében arra 
keresnek választ, hogy annakteljesítménye 
elegendő-e a rábízott feladatok elvégzésére. 
A következő lépcsőben a rendszert az 
interneten keresztül kívülről vizsgálják meg. 
Megnézik, hogy a kívülről elérhető szolgál- 
tatások  biztonságosak-e. A megrendelő 
hozzájárulásával, kívánsága szerint az ő je- 
lenlétében megpróbálják manipulálni, fel- 
törni a publikus szolgáltatásokat, anélkül, 
hogy a rendszert megbénítanák, megron- 
gálnák vagy működésében akadályoznák. 
Minden sikeres és sikertelen próbálkozásról 
pontos dokumentáció készül, amelyet kizá- 
rólag a megrendelő láthat. 

Mindezek után következik a belső rend- 
szer vizsgálata. Ha egy olyan rendszerről 
(például egy webkiszolgálóról) van szó, 
amelyet folyamatosan használnak, a vizs- 
gálatot végző szakemberek normál fel- 
használói jogosultsággal megpróbálják be- 
lülről manipulálni a rendszert és annak 
elemeit, amiről szintén pontos dokumen- 
táció készül. 

A vizsgálatok befejezése után konzultá- 
ció zajlik az ügyféllel a tapasztaltakról a 
hibák kijavítása érdekében. Valamennyi 
beavatkozás kizárólag az ügyfél hozzájá- 
rulásával történhet, és ha sikerül feltörni a 
rendszert, a helyben tárolt adatokba nem 
néznek bele, és nem törlik a naplóállomá- 
nyokat. A talált hibát kihasználó progra- 
mot vagy annak forráskódját nem adják át 
az ügyfélnek, és törlik azt. Erre azért van 
szükség, hogy az esetleg még nem publi- 
kált hibáról harmadik fél ne szerezhessen 
tudomást, és ne használhassa máshol ártó 
szándékkal. 


Linux- és UNIX-alapú 
szoftveraudit 


Kevésbé közismert, hogy egy szoftver is 
lehet támadási felület, de ez ellen is lehet 


Adatbiztonság 2002 


védekezni. Egyre inkább terjed a Linux, a 
UNIX, s egyre több cég ír programokat 
ezekre az operációs rendszerekre. Ha a 
programozás során nem tanúsítanak kellő 
figyelmet, előfordulhat, hogy egy program 
segítségével valaki kívülről vagy helyben 
illegális hozzáférést tud megvalósítani. En- 
nek elkerülése érdekében a PingWINet 
szakemberei vállalják az új programok 
biztonságtechnikai felülvizsgálatát. A vizs- 
gálathoz nincs szükség a forráskódra. 
Különböző technikákkal megpróbálják 
a programot a megszokott működéstől el- 
téríteni, és illegális jogosultságokkal meg- 
emelni a normál felhasználó szintjét. 
Mindezt a PingWINet saját fejlesztésű 
programokkal végzi. Siker esetén pontos 
dokumentáció készül, és elvi javaslatot 
tesznek a hiba kijavítására. A talált hibát 
nem hozzák nyilvánosságra, továbbá a hi- 


Az IIS Security Audit a [dows 2000 
Server konfigurációkban deríti fel azokat a 
biztonsági réseket, ahol a hackerek a Mic- 
rosoft Internet Information Server (IIS) se- 
gítségével tudnak behatolni a rendszerbe 


bát kihasználó programot és annak forrás- 
kódját nem adják át az ügyfélnek. 


HSS biztonsági rendszer 


A PingWINet hat éve foglalkozik e nagy- 
részt saját fejlesztésű rendszer kidolgozá- 
sával és gondozásával. A HSS-t felszerel- 
ték valamennyi fontosabb kényelmi szol- 
gáltatással, és nincs észrevehető korláto- 
zás a rendszer védelme érdekében. Nem 
kell lemondani az alapvető internetes szol- 
gatatásokról, mint például egy proxyt 
használó védelmi rendszerben, hacsak 
nem az az ügyfél kifejezett kérése, hogy 
korlátozzanak bizonyos funkciókat. 

A szoftver nem kerül kereskedelmi for- 
galomba, a telepítést a PingWINet szak- 
emberi végzik, csakúgy mint a rendszer 
gondozását. Harmadik fél a HSS-t nem te- 


lepítheti, abba betekintést nem nyerhet, és 
nem is adminisztrálhatja azt. 

A HSS rendszer Linuxra épülő, ügyfél-ki- 
szolgáló alapú megoldás. Az ügyfélgép 
(lehet több is) az az egység, amely fizikai- 
lag a megrendelőnél helyezkedik el, an- 
nak hálózata előtt, mint egy tűzfal. Ehhez 
a számítógéphez csatlakozik a megrende- 
lő belső hálózata, valamint ez a gép látja 
el az alapvető routolási és egyéb szolgálta- 
tásokat. Lokális védelmi rendszerébe csu- 
pán a már felfedezett hibákat táplálták be, 
az ezek mentén történő próbálkozásokat 
naplózza és 100 százalékos biztonsággal 
elhárítja. Emellett folyamatosan adatokat 
gyűjt a rendszer állapotáról, valamint az 
élő kapcsolatokról, folyamatokról. 

Az ügyfélgépek által összegyűjtött ada- 
tok valós időben, erős titkosítással, az 
interneten keresztül bekerülnek a HSS 
központi gépeibe. Minden egyes ügyfélol- 
dal mögötti rendszer életét és szokásait 
rögzítik, és bármikor, bármilyen eltérés 
azonnal észrevehető az adatok elemzése 
közben. A központi gépeknél a PingWINet 
munkatársai figyelik a rendszert a nap 24 
órájában, aminek eredményeképpen a be- 
hatolás lehetősége minimális, és probléma 
esetén azonnal megkezdődik az elhárítás, 
így a támadónak nem marad esélye a 
rendszer feltérképezésére. Az automatizá- 
lás csak a minimális szükségesség határáig 
terjed, a vezérlés nagyrészt emberi. 

Az ügyfél igényeit a lehető legrövidebb 
időn belül teljesítik. Korlátlan számú és 
bármilyen operációs rendszerű belső szá- 
mitógép csatlakozhat az ügyféloldali HSS 
rendszerhez, mivel itt csak az ügyfélhard- 
ver feltételei szabnak határt. Kérésre belső 
szervereket is üzemeltethet a megrendelő, 
amelyeket kívülről is el lehet érni megfele- 
lő kritériumok alapján. A legfrissebb fej- 
lesztéseket és frissítéseket automatikusan 
felteszik az ügyféloldalra. 

A HSS rendszerbe beépítettek egy leve- 
lezési szervert, amely vírusszűrést is vé- 
gez, mivel manapság a rendszerek megbé- 
nulásának 90 százalékáért a levélben ter- 
jedő vírusok a felelősek. A vírusok elleni 
védelem tehát szerves része minden ügy- 
félgépnek, erre a célra a McAfee cég min- 
denkori legfrissebb termékét használják. 

Igény esetén lehetőség van virtuális ma- 
gánhálózat kialakítására, amelynek révén 
a megrendelő munkatársai úgy dolgozhat- 
nak a világ bármely pontján az internet se- 
gítségével, mintha az irodában a tűzfal 
mögött ülnének. -ba 
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legtöbb üzleti szervezet erőforrása- 
A: jelentős részét az informatikai 

hálózat teszi ki. Az adatok sérülé- 
se, elvesztése, módosítása, vagy akár a 
rendszer lebénítása egyaránt bekövetkez- 
het külső támadás vagy belső felhasználói 
mulasztás, esetleg hardverhiba miatt. Ép- 
pen ezért a rendszer védelmére lehetőleg 
komplex megoldást kell alkalmazni. Az ér- 
tékes vállalati információállományt több- 
szörösen védik, mégpedig logikai, fizikai 
és adminisztratív úton. 

A védelmi stratégia első lépésében a fej- 
lesztők csapata a megbízó háza táján néz 
körül. E sajátos módszerrel, az üzleti part- 
nerről nyert információk birtokában készít 
egy fenyegetettség- és kockázatelemzést, 
amelyben részletesen leírják, milyen ve- 
szélyek fenyegetik a megrendelő rendsze- 
rét, és mennyi az esélye, hogy azok bekö- 
vetkeznek. Ezt összevetik a várható veszte- 
séggel, és azzal, hogy a vállalat mekkora 
kockázatot képes még elviselni. Ebből a 
szemléletből ered a Svnergon megoldásai- 
nak egyedisége: mindig az adott megren- 
delő üzletvitelének megfelelően , testre 
szabott" intézkedéseket dolgoznak ki. 

Az összegyűlt adatok alapján dolgozzák 
ki az információbiztonsági stratégiát az el- 
következendő 2-3 évre. 

Ekkor következik a megrendelő me- 
nedzsment és a fejlesztők közös megbeszé- 
lése, amelyen végül kialakítják a megvaló- 
sítandó informatikai biztonsági rendszert, a 
már említett hármas felépítés szerint. 


Synergon Rt. 


A Synergon Informatikai Rt. -— az 
egyik vezető hazai megoldásszállító 
vállalkozás — 2001-ben 21.,1 milliárd fo- 
rintot meghaladó árbevételt ért el, sa- 
ját tókéje pedig mindegy 7.8 milliárd 
forint. A társaság részvényeit 1999 má- 
jusa óta jegyzik a budapesti értéktőzs- 
dén és a londoni SEAO elektronikus 
tőzsdén is. A Synergon piacvezető, 
multinacionális partnereinek termékei- 
re és támogatására, illetve saját hozzá- 
értésére alapozva alakítja ki informá- 
cióbiztonsági megoldásait. Kiemelt 
partnerei közé tartozik a Cisco, az RSA 
Security, a Chekpoint, de a Nokia is. 
Főbb referenciái között szerepel az Ál- 
lami Számvevőszék, a Budapest Bank 
At., a Raiffeisen Bank, a Paksi Atomerő- 
mű Rt., valamint a szaúd-arábiai érték- 
tőzsde. 


Ww.computerpanorama.hu 


Cégre szabott 
védelem 


Hogyan épül fel egy korszerű információbiztonsági rendszer? 


s 


Milyen elemekből áll, mi minden ellen véd meg, és mi a 


legnagyobb veszély? Az informatikai biztonsági megoldáso- 


kat a Synergon Informatikai Rt. tanácsadási részlegének ve- 


zető szakértője, Kondákor Tibor segítségével mutatjuk be. 


Folyamatos, 


rendszeres 
Felülvizsgálat 


ht 


A Synergon biztonsági koncepciója háromféle védelmi intézkedést foglal magában 


Ember a gép előtt 


Az adminisztratív biztonsági intézkedé- 
sek magukban foglalják a biztonsági köve- 
telmények dokumentálását, a jogosultsá- 
gok, felelősségek, a kötelezően elvégzen- 
dő és a tiltott tevékenységek meghatározá- 
sát. Kiemelt jelentőséget kapnak a nem 
várt események kezelését célzó üzletme- 
net-folytonossági tervek (BCP: Business 
Continuity Plain). Itt esik szó a biztonsági 
intézkedések emberi oldaláról, vagyis a 
felhasználók tevékenységéből adódó hi- 
bák, tévedések, illetve tisztességtelen 
munkavállalók által okozott kárról, amely 
a veszteségek 8099-át adja! 

Ennek az úgynevezett humán tűzfalnak 
döntő jelentősége van az üzleti biztonság 
növelése szempontjából. Eszközei: a fel- 
használók feladatainak szétválasztása, a 
dolgozók motiválása, oktatása, ellenőrzése 
stb. Egy vállalat esetében megoldható pél- 


dául, hogy az ügyfélszolgálatokon dolgo- 
zó alkalmazottak más adatokat és hálózati 
erőforrásokat érjenek el, mint például a 
személyzeti osztály alkalmazottai vagy a 
marketing- és értékesítési osztály felhasz- 
nálói. Ugyanakkor a felső vezetés olyan 
adatokhoz is hozzáférhet, amelyek el van- 
nak zárva a többi alkalmazott elől. 


Állj, ki vagy? 


A logikai védelmi intézkedések a tárolt 
adatok bizalmas kezeléséről, sértetlensé- 
gének megőrzéséről és folyamatos rendel- 
kezésre állásáról gondoskodnak. Ezek le- 
hetnek vírusvédelmi eszközök, tűzfalak, 
behatolás-érzékelő rendszerek, authenti- 
kációs rendszerek, publikus kulcsú infrast- 
ruktúra a digitális aláírás és titkosítás meg- 
valósítására, tartalomszűrés, virtuális ma- 
gánhálózat a bizalmas kommunikációhoz 
(pl. vidéki kirendeltségek, illetve multina- 
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cionális leányvállalatok között, valamint 
mentési rendszerek. 

Az adminisztratív és logikai védelmi in- 
tézkedések szorosan összekapcsolódnak a 
fizikai védelem alkalmazásával, amelynek 
a feladata az eszközök biztonságos, folya- 
matos őrzése, szünetmentes tápegységek- 
kel, tűzvédelmi berendezésekkel, megfi- 
gyelő rendszerekkel és biztonsági (fegyve- 
res) őrökkel a rongálás, lopás és egyéb erő- 
szakos beavatkozások ellen. 


A legnagyobb veszély 


A legnagyobb hiba lenne azonban azt 
hinni, hogy az iménti biztonsági intézke- 
dések kiépítése után a megrendelő, illetve 
a szolgáltató nyugodtan hátradőlhet a ka- 
rosszékében, mondván hogy ,a gép forog, 
az alkotó pihen". 

A kiépített védelmi rendszer szakadat- 
lan felülvizsgálata mellett a rendszer üze- 
meltetőinek és a felhasználóknak a folya- 


Informatikai biztonsági kislexikon 


matos oktatása és a felmerülő hibák 
azonnali, szakszerű megoldása is a biz- 
tonsági megoldást szállító partner felada- 
ta. 

A védelmi intézkedések teljes körű do- 
kumentációját a vállalat egyedi informá- 
cióbiztonsági szabályzatában rögzítik. 

Természetesen a fejlesztők a későbbiek- 
ben is teljes körű technikai-üzemeltetési 
készenléti hátteret biztosítanak. 

F.F.H. 


(Forrás: Synergon , Informatikai biztonság" c. kiad- 
ványa) 


Tűzfal: A tűzfal a különböző hálózatok 
közötti kommunikáció ellenőrzését meg- 
valósító szoftvereszköz, amely a külső 
(internet-) kapcsolattal rendelkező háló- 
zatok biztonságára ügyel. Egy korszerű 
hálózati tűzfal elképzelhetetlen adatvé- 
delmi politika, vagyis az információvédel- 
met érintő szabályrendszer nélkül. 

A tűzfalak a kommunikáció szabályozá- 
sán kívül egyéb szolgáltatásokat is nyúj- 
tanak, például titkosítást, a virtuális ma- 
gánhálózat (VPN: Virtual Private Network) 
kialakítását, felhasználó-azonosítást, a 
tartalomszűrés támogatását vagy sSáv- 
szélesség-szabályozást. 

A túzfalakban alkalmazott technikák 
alapján megkülönböztethetünk csomag- 
szűrés- és proxy-alapú technikákat. 

Authentikációs rendszerek: A hozzáfé- 
rés-védelem a felhasználó egyértelmű és 
hiteles azonosítására épül. A legelterjed- 
tebb megoldás erre a felhasználónév-jel- 
szó páros alkalmazása, amelynek azon- 
ban számos támadható tulajdonsága is 
van (továbbadható, kitalálható, lehallgat- 
ható stb.). 

Ezek megelőzésére alkalmazzák az 
úgynevezett erős authentikációs rend- 
szereket, amelyek a jelszón kívül valami- 
lyen fizikai eszközhöz kötik a felhasználók 
hiteles azonosítását. 

Ezek lehetnek speciális leolvasót nem 
igénylő úgynevezett token kártyák, vala- 
mint chippel/ ellátott intelligens kártyák 
(smart card), vagy biometrikus azonosító- 
eszközök, amelyek az azonosítandó sze- 
mély valamely egyedi testi jellegzetessé- 
gét (ujjlenyomatát, hangját, arcát, szivár- 
ványhártyáját stb.) vizsgálják. 

Komplex PKI rendszerek: A titkosítás, a 
digitális hitelesítés és azonosítás alapja 
gyakorlatilag a PK (Public Key Infrastruc- 
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ture -— nyilvános kulcsú infrastruktúra), 

amelyet az elektronikus aláírás megbízha- 

tó alkalmazása érdekében fejlesztettek ki. 

Ennek központi alkotóeleme a CA 
(Certificate Authority -hitelesítő hatóság). 
E köré csoportosulnak a különböző fel- 
adatokat megvalósító rendszerek, me- 
lyekkel röviden összefoglalva a követke- 
ző funkciók valósíthatók meg: 

p VPN - titkosított kommunikáció nyilvá- 
nos hálózaton keresztül megvalósított 
magánhálózattal 

p Digitális aláírás — ezzel egy üzenet fel- 
adója vagy akár egy nyilvános hálózat- 
ról letölthető adatállomány tulajdonosa 
is hitelesíthető 

p Biztonságos levelezés 

p Erős authentikáció (a jelszón kívül vala- 
milyen fizikai eszközhöz is kötik a fel- 
használók hiteles azonosítását) 

b Állomány titkosítás 

b Biztonságos web-elérés 

b Hozzáférés minden kiszolgálóhoz egy- 
szeri bejelentkezéssel (Single Sign On) 
Behatolás-érzékelés: Az informatikai 

rendszerek elleni támadások kivédésre 
kifejlesztett aktív védelmi eszközök közé 
tartozik az úgynevezett behatolás-érzéke- 
lő rendszer (/ntrusion Detection System - 
1DS). 

Az egyik rendszertípus egy adott háló- 
zathoz csatlakozva a hálózaton áthaladó 
forgalmat vizsgálja, valós időben, az ösz- 
szes csomópont védelmét egyszerre 
szolgálva, ismert támadási minták után 
kutatva. Találat esetén többféle reagálás- 
ra ad módot, a riasztástól a rendszer au- 
tomatikus átkonfigurálásán át a veszé- 
lyes kapcsolat megszakításáig. 

A másik típus egy adott számítógép 
operációsrendszerének naplófájljait vizs- 
gálja betörésre utaló jelek után kutatva. 
Ennél a megoldásnál minden egyes cso- 
mópont saját IDS klienst igényel. 

Biztonsági teszt: Egy rendszer védel- 


mének kiépítése előtt és után biztonsági 
tesztek alkalmazásával derítik ki a rend- 
szer védelmi hiányosságait és a meglé- 
vő intézkedések eszközök hatékonysá- 
gát. 

Ehhez a vizsgálathoz úgynevezett 
szkennerprogramokat használnak. Ezek a 
szoftverek egy adott hálózati szegmens 
feltérképezése után különféle betörési kí- 
sérleteknek vetik alá a megtalált csomó- 
pontokat, az eredményt rögzítik, megje- 
lölik a támadható rendszereket, és eset- 
leg javaslatot is tesznek a védelmi hiá- 
nyosságok megszüntetésére. 

Az úgynevezett penetration test során 
a vizsgálandó rendszer ellen élethű körül- 
mények között - kiemelt hozzáférés és 
előzetes ismeretek nélkül - kísérelnek 
meg támadást, ugyanúgy, ahogyan egy 
hacker vagy cracker is támadna, ebben 
az esetben azonban egy ellenőrzött és 
dokumentált folyamatról van szó. 

Tartalomszúrés: A szoftveres ellenőr- 
zéssel (/AC: Internet Access Control) 
többféle módon is meg lehet akadályozni 
a vállalati rendszer felhasználóit bizonyos 
internetes tartalmak elérésében. Például 
a konkrét internetcím (URL) alapján már 
előre ki lehet szűrni az olyan site-okat, 
amelyek nem az adott munkához tartoz- 
nak. 

A több milliónyi tiltott URL címét listák 
tartalmazzák, amelyeket a tartalomszú- 
réssel foglalkozó cégek állítanak össze, a 
megrendelők igénye szerint (ilyen példá- 
ul a Surf Control cég). A felhasználóknak 
egy adott cégen belül is biztosíthatnak 
különféle hozzáférési jogokat. 

Lehetőség van konkrét fájltípusok szű- 
résére is, így például a zenei (mp3, wma, 
waw) vagy videóállományokat a rendszer 
nem engedi át. Itt is létezik kiskapu: meg- 
oldható a korlátozás úgy is, hogy csak bi- 
zonyos oldalakról tölthető le az adott fájl- 
típus. 
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OLÓGIA 


CISCO SAFE 


Biztos, ami Cisco 


Magyarország legfejlettebb IT biztonsági rendszerét építette 


ki az elmúlt hetekben a Synergon Informatikai Rt. az egyik 


nagy magyar kereskedelmi bank megbízásából. A fejlesztés 


egyben a legnagyobb Cisco-eszközökből kialakított, 


egybefüggő rendszer hazánkban. A mintegy 1500 


felhasználós informatikai rendszer csaknem 100 millió 


forintba került, és a Cisco SAFE módszertan alapján készült. 


Cisco SAFE az egyik legkorszerűbb 
Ass megoldás a vállalatok 

zámára. Az általánosan elfogadott 
meghatározás szerint egy olyan átfogó há- 
lózatbiztonsági keretrendszerről van szó, 
amely a vállalatok számára lehetővé teszi, 
hogy biztonságos módon használhassák az 
internetes alkalmazásokat. A legtöbb vállal- 
kozás multimédiás alkalmazásai védelmét 
várja el a rendszertől. A SAFE számukra 
ideális eszköz, hiszen integrált megoldást 
jelent a hang-, adat- és videóátviteli, vala- 
mint VPN hálózatokhoz. 

A hálózat telepítése előtt kihagyhatatlan 
lépés a vállalati biztonsági irányelvek kiala- 
kítása, és az ezeknek megfelelő konfigurá- 
ciós szabályok meghatározása. Hogy ez 
könnyebb legyen, kifejlesztettek egy színes, 
grafikus felületű tervező és megjelenítő al- 
kalmazást, a CSPM-et (Cisco Secure Policy 
Manager). Ez voltaképpen egy Windows 


Átfogó hálózatbiztonsági 


megoldás 


2) Biztonság kiépítése ! 
Tűzfal, titkosítás, hitelesítés,.. 
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5) Menedzselés és 3) 
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Ne feledjük: a rendszer állandó készenlétet 
és folyamatos fejlesztést igényel 


alatt futó program, amellyel jól átláthatóan 
jeleníthető meg a hálózat topológiája, a há- 
lózati és a VPN-forgalom adatai, az IDS be- 
állításai és jelentései. Ennek a programnak 
a része a CiscoView, amellyel egy pontból, 
az eszköz grafikus képét mutatva konfigu- 
rálhatók a Cisco-eszközök. 


Csomagszűrés elvén működő tűzfal 


A csomagszűrés elve szerint a túzfal- 
funkciót ellátó eszköz (router vagy szá- 
míitógép) a rajta áthaladó információt 
meghatározott ismérvek alapján ellenőr- 
zi, és csak akkor továbbítja a címzettnek, 
ha megfelelőnek találja. Meg lehet hatá- 
rozni, hogy milyen protokollon keresztül 
lehet kapcsolatot teremteni a védett há- 
lózattal, illetve melyek a csomagokkal 
megcímezhető kapuk (portok). Az inter- 
net elterjedt protokollja a TCP//P Ennek 
használatakor a különböző szolgáltatá- 
sok (ftp, http, mail stb.) mindig ugyan- 
azon a kapukon érhetők el, így azután 
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egyszerűen a port tiltásával, illetve enge- 
délyezésével a szolgáltatás igénybevé- 
telét is szabályozni lehet. A tűzfal prog- 
ramozásakor elő lehet írni, hogy bizo- 
nyos eseményekre hogyan reagáljon a 
rendszer (figyelmeztetést küldjön a 
rendszergazdának, vagy naplófájlba je- 
gyezze az eseményt, esetleg szakítsa 
meg a kapcsolatot stb.). 

A csomagszúrés hátrányai: a routerek 
nem alkalmasak részletes naplófájlok 
rögzítésére, és ez a technológia az alkal- 
mazói programok szintjén nem nyújt vé- 
delmet. 


A Cisco hálózat 


főbb elemei 


Magyarországon elsősorban pénzintézetek 
alkalmazzák a SAFE-et 


Véd a SAFE 


A SAFE hálózat használata a természete- 
sen a bejelentkezéssel kezdődik. Az azo- 
nosítás kétféle módszert kezelhet: a hagyo- 
mányos névvel és jelszóval történő beje- 
lentkezést és az egyszer használatos (one- 
time) jelszóval való bejelentkezést, amely- 
hez értelemszerűen külső szervert is igény- 
be kell venni. 

A PKI-val (Public Key Infrastructure) való 
bejelentkezést a Cisco stratégiai szövetsé- 
gesei révén biztosítja. 

A támadások és a jogosulatlan hozzáfé- 
rések nagyobb része a hálózaton belülről 
érkezik, ezért ma már elterjedtek a belső 
tűzfalak is. Elhelyezésük az adott hálózati 
környezettől függ. A Cisco PIX-alapú tűz- 
falai az úgynevezett állapottartó csomag- 
szűrés elvén működnek, Intel-alapúak, és 
PIX operációs rendszert, valamint tűzfal- 
szoftvert futtatnak. 

A szoftvert a gyorsmemóriából lehet elő- 
hívni, ráadásul a tűzfalaknak nincs mozgó 
alkatrészük (kivéve persze a hűtőventilá- 
tort), éppen ezért kiemelkedően jó a meg- 
bízhatóságuk. 


Az "új világ" biztonsági filozófiája 


A biztonság fenntartása 
folyamatos, többszintű folyamat, 
melyet mindig tovább kell fejleszteni 
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TEGHROLOGIA I 


A vállalatok sokszor igénylik vidéki ki- 
rendeltségeik vagy külföldi anyacégükkel 
folytatott kommunikációjuk biztonságos- 
sá tételét. Ezt támogatja az IPSec alapú 
VPN, amely az útválasztókba (routerek- 
be) és a tűzfalakba beépített modul segít- 
ségével, vagy az önálló VPN koncentrá- 
torral egyaránt megvalósítható. Az elekt- 
gainak korrekt rögzítése alapkövetel- 
mény a vállalat biztonságtechnikai rend- 
szerében. A Cisco SAFE módszertana erre 
is kiterjed. 


Forgalmi ellenőrzés 


Az elkészült rendszer folyamatos fel- 
ügyeletét jó házőrző módjára a behatolás- 
érzékelő (IDS) eszközök biztosítják: vá- 
lasztható, hogy a hálózati forgalmat vagy a 
kiszolgálók terhelését figyelő modul kerül- 
jön-e beépítésre. A hálózati forgalmat figye- 
lő modul egy olyan hardverelem, amely 
500 megabit/másodperc sebességgel figyeli 
a csomagokat, Intel-alapú Solaris operációs 


Virtuális levélbomba 


Egy magyarországi nagyvállalatnál ha- 
talmas problémák okozott egy úgyneve- 


zett virtuális levélbomba. Az történt 
ugyanis, hogy a rossz szándékú belső 
munkatárs a szakszervezeti vezető nevé- 
ben egy elektronikus körlevelet küldött a 
vállalat minden dolgozójának, egy olyan 
időszakban, amikor a tervezett létszám- 
csökkentések és leépítések miatt amúgy 
is feszült volt a hangulat. Ebben a levél- 
ben burkoltan sztrájkra szólította fel a 
dolgozókat, arra hivatkozva, hogy a me- 
nedzsment nem törődik velük, ne tűrjék 
ezt. Természetesen óriási botrány lett, a 
vétlen szakszervezeti vezető ellen azon- 


rendszerre épülő programjának megfelelő- 
en. Illetéktelen behatolási kísérlet esetén az 
IDS aktívan beavatkozik, valamint ezzel 
egy időben riasztást is küld. A kiszolgáló- 
kon működő IDS olyan program, amely a 
hálózati alkalmazásokat figyeli, és az ott 
észlelt hiba esetén riaszt. A hálózati forga- 


nali eljárást kezdeményeztek. Komoly át- 
világításokat végeztek a biztonsági rend- 
szerben, felülvizsgálták a biztonsági 
policy-kat és a hozzáférési jogosultságo- 
kat is. Bár a számítástechnikai rendszer 
nem igazolta a vétlen aktivistát, neki egy 
másik, off-line adattal sikerült bizonyíta- 
nia igazát és egyben a levelezési rend- 
szer óriási hibáját. A valódi vétkest nem 
sikerült nyakon csípni, azonban az óriási 
erőfeszítéssel és a hatalmas költséggel 
lefolytatott , nyomozás" után nem fordul- 
hatott elő többet ilyen bűntény. A vész- 
helyzet elkerülhető lett volna egy koráb- 
bi, szakértők által végzett átvilágítással. 


lom figyelését használják a rendszergaz- 
dák, illetve a fejlesztők az elkészült hálózat 
teszteléséhez és hangolásához, hiszen az 
informatikai biztonsági rendszerek — legye- 
nek bármilyen korszerűek — soha sincsenek 
teljesen készen. 
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Z internet a kapcsolattartás új lehe- 
As kínálja a vállalkozások- 

nak, egyben különféle kockázato- 
kat is magában hordoz, például a bizton- 
ság, a teljesítmény és a menedzselhetőség 
terén. A gondokra a Microsoft Internet 
Security and Acceleration Server 2000 
(ISA Server) jelenti a megoldást. A termék 
egy többrétegű, nagyteljesítményű tűzfal, 
amely segít megvédeni a hálózat erőforrá- 
sait a vírusoktól, kalózoktól és az illetékte- 
len felhasználóktól. Web gyorsítótára pe- 
dig lehetővé teszi a sávszélesség takarékos 
kihasználását, ráadásul gyorsabb webelé- 
rést kínál azáltal, hogy a kérések egy részét 
a leterhelt internet helyett a helyi gyorsí- 
tótárból szolgálja ki. Az ISA Server egysé- 
ges menedzsment konzolja egyszerűsíti a 
biztonság és a hozzáférések kezelését. 

Az ISA Server célja a termék eljuttatása a 
bétatesztelőkhöz és a vásárlókhoz, akik 
így a gyakorlatban tesztelhetik a terméket, 
tesztrendszereket építhetnek, és visszajel- 
zéseket adhatnak a Microsoft fejlesztő és 
tesztelő csoportjának. 


Előnyök 


Az ISA Server a .NET kiszolgálócsalád 
egyik kulcseleme, amely számos előnyt kí- 
nál elsősorban a gyors és jól menedzselhető 
internet-kapcsolatot igénylő nagyvállalatok- 
nak. Nézzük, melyek is ezek az előnyök. 

Elsőként a magas szintű biztonságot 
nyújtó többrétegű tűzfalat említhetjük, 
amely megakadályozza a hálózatok jogo- 
sulatlan elérését, védi a web- és levelező- 
kiszolgálókat a külső támadásoktól, vala- 
mint folyamatosan ellenőrzi a bejövő és 
kimenő forgalmat. 

Egy további előny a nagyteljesítményű 
web gyorsítótár segítségével megvalósított 
gyors internet-elérés. A kérések egy részé- 
nek a helyi gyorsítótárból való kiszolgálásá- 
val jelentősen csökkenthető a hálózati for- 
galom, s ezen keresztül a kommunikációs 


Az ISA Server felhasználói felülete 
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licrosoft Internet Security and ACceleration Server 2000 


Tűzfal és web 
yorsítótár 


A Microsoft Internet Security and Acceleration Server 2000 


egy bővíthető, nagyteljesítményű tűzfal és web gyorsítótár 


kiszolgáló, amely a Windows 2000 operációs rendszer 


biztonsági beállításait, menedzsment képességeit és címtá- 


rát kihasználva valósítja meg az internet-elérés házirend-ala- 


pú szabályozását, gyorsítását és menedzselését. 


költségek. A gyorsítótár szétosztja a web- 
kiszolgálók és az elektronikus kereskedelmi 
alkalmazások tartalmát, így az a vásárlók- 
hoz gyorsan és költséghatékonyan jut el. 

Az ISA Server integrált eszközei gondos- 
kodnak a jó rendszerfelügyeletről. Ez ma- 
gában foglalja a hozzáférések központi 
szabályozását a cég házirendjének biztosí- 
tása és kikényszerítése érdekében, az 
internet-használat korlátozását a jóváha- 
gyott alkalmazásokra és weboldalakra, a 
sávszélesség üzleti szempontok szerinti el- 
osztását a felhasználók között, valamint a 
jelentés-készítést az internet-használatról. 

Az ISA Server tűzfal és web gyorsítótár 
összetevői a vállalat igényeitől és hálóza- 
tának felépítésétől függően külön gépekre 
vagy egyetlen gépre is telepíthetők. A 
szoftver ugyanakkor jó bővíthetőséget és 
testreszabhatóságot kínál a kiterjedt SDK 
és API készlet jóvoltából, amelynek segít- 
ségével az ISA Server funkcionalitása kiter- 
jeszthető a felügyelet, a vírusszűrés, a tar- 
talomszűrés stb. területén. 

A vállalatok számára a könnyű üzembe- 
helyezhetőség is jelentős előnynek számít. 
Az ISA Serverrel csak a tűzfal- és a gyor- 
sítótár-kiszolgálók beállítására van szükség, 
így egyszerűsödik a kiszolgálók közzététe- 
le, a tűzfal és a gyorsítótár beállítása. Az 
ISA Server biztonságos címfordítási (Secure 
Network Address Translation — SecureNAT) 
képességének köszönhetően a rendszer- 
gazdáknak nem kell további szoftvert tele- 
píteni az ügyfélgépekre vagy a közzétett ki- 


Az ISA Server menedzsment konzolja 


szolgálókra a tűzfal vagy a gyorsítótár hasz- 
nálatához. Az ISA Server láthatatlan az ügy- 
félgépek és más kiszolgálók számára, így 
csökkenthető a rendszerfelügyelet össze- 
tettsége és annak költségei. 


Alkalmazások 


Az ISA Server háromféle üzemmódban 
működhet: tűzfalként, gyorsítótárként és 
integrált tűzfal-gyorsítótárként ugyanazon 
a gépen. Tűzfalként az internet és a belső 
gépek közti biztonságos átjáróként műkö- 
dik. Az ISA Server észrevétlen a kommuni- 
kációban résztvevők számára mindaddig, 
amíg olyan szolgáltatást vagy webhelyet 
próbálnak elérni, amelynek tiltott a hasz- 
nálata. A biztonsági házirendek beállításá- 
val a rendszergazdák megelőzhetik a háló- 
zat illetéktelen használatát, a veszélyes 
dolgok hálózatra kerülését, és letilthatják a 
kifelé irányuló forgalmat. 

Az ISA Serverrel a belső hálózat bizton- 
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3. ő) 


SZOFTVER 
I 


ságának veszélyeztetése nélkül oldható 
meg a szolgáltatások interneten való köz- 
zététele. Beállíthatók a web- és a kiszolgá- 
ló-közzététel szabályai, ezektől függ, hogy 
mely kérések továbbítódnak az ISA Server 
mögött található kiszolgálók felé. Az ISA 
Server mögött például egy Microsoft 
Exchange kiszolgáló is elhelyezhető; az 
Exchange Serverre bejövő leveleket az ISA 
Server (amely az ügyfelek számára levele- 


Ajtók és zárak 


A legtöbb szoftvercég - Így a Microsoft 
is — egyre többet törődik az információ- 
biztonsággal. A cég biztonsági stratégiá- 
járól Vityi Pétert, a Microsoft Magyaror- 
szág ügyvezető igazgatóját kérdeztük. 

- Miért foglalkozik most aktívabban a 
Microsoft az információbiztonsággal? 

- A Microsoft mindig is fontosnak tar- 
totta a biztonság témakörét, hiszen ez a 
probléma az egész IT iparágat érinti, eb- 
ben pedig a Microsoftnak — vezető szere- 
pe folytán — feladatai és megoldásai is 
vannak. Régebben egyszerűbb volt az 
, élet": a felhasználók zárt terminálok előtt 
dolgoztak, az adatbevitel főképpen billen- 
tyűzeten keresztül történt, így elsősorban 
fizikai védelemre volt csak szükség. Ké- 
sőbb már különböző adathordozókon is 
lehetett információt cserélni, ekkor jelen- 
tek meg a vírusok. A különböző külső-bel- 
ső hálózatok és az internet elterjedésével 
tovább nőtt a veszély, és teljesen megvál- 
toztak az ezzel kapcsolatos feladatok. 

- Mi a különbség az internet adatvédel- 
mi és biztonsági kérdései között? 

- Nehéz szétválasztani a kettőt, hiszen 
szervesen kapcsolódnak egymáshoz. A 
biztonság sérelmére elkövetett cselek- 
mények az adatok sérelméhez is vezet- 
hetnek. A biztonság azt a kérdéskört öleli 
fel, hogy mennyire vannak védve az em- 
ber adatai a jogosulatlan vagy nem várt 
hozzáféréssel szemben, míg az adatvé- 
delem inkább arra vonatkozik, hogy a kül- 
ső adatkezelők hogyan férhetnek hozzá a 
személyes adatokhoz, és mit kezdhetnek 
azokkal. Az adatvédelem szubjektív do- 
log, mivel nagyrészt szokásfüggő: egye- 
sek kevésbé aggódnak személyes adata- 
ik kezelésével kapcsolatban, míg mások 
még azt sem tűrik könnyen, ha valaki 
megtudja az IP-címüket. 

- Mikor érezhetjük magunkat bizton- 
ságban? 
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Válaszol Vityi Péter, a Microsoft Magyarország ügyvezető igazgatója 


ző kiszolgálónak látszik) elfogja, megszűri, 
majd továbbítja az Exchange Servernek. 

Gyorsítótárként telepítve az ISA Server a 
belső ügyfelek internet-eléréséről gondos- 
kodik. Növeli az ügyfél böngészőjének tel- 
jesítményét, csökkenti a válaszidőt, és 
csökkenti az internet-kapcsolat sávszéles- 
ségének használatát. 

A gyorsítótár a külső ügyfeleket is kiszol- 
gálhatja, hozzáférést biztosítva számukra a 


Véleményünk szerint három fontos te- 
rület határozza meg, mennyire érezhetjük 
magunkat biztonságban az információ- 
technológiában. Egyfelől szükség van 
egy bizonyos technológiai színvonalra. 
Természetesen a Microsoft minden tőle 
telhetőt megtesz a megfelelő alapinfrast- 
ruktúra megteremtésére; itt vannak pél- 
dául a Windows rendszerek vagy az 
Office alkalmazások, amelyek ugyan nem 
kifejezetten biztonsági célokat szolgálnak, 
ám olyan képességeik vannak, amelyek 
fokozzák a védelmünket. Ezen felül a Mic- 
rosoftnak vannak olyan termékei is, ame- 
lyek kifejezetten a biztonságos informá- 
ciókezelést teszik lehetővé, mint például 
az ISA 2000 Server (Internet Security and 
Acceleration Server). 

Ugyanakkor szükség van arra is, hogy 
a vállalatok pontosan szabályozzák, mit 
kell tenniük a biztonság érdekében, pél- 
dául akkor, ha mégis vírus került a rend- 
szerbe. Ennek hiányában hálózatuk sok- 
kal sebezhetőbbé válik. A harmadik fon- 
tos szereplő pedig maga az ember. Va- 
gyis az a körülmény, hogy a felhasználók 
milyen oktatásban részesültek, pontosan 
ismerik-e a lehetőségeiket, és a vállalat 
milyen mértékben von be külső szakértő- 
ket a potenciális veszélyek kiszűrésére. 

- Milyen megoldásokkal segíti a bizton- 
ságot a Microsoft? 

- A biztonságot tekintve három össze- 
tevőből áll vállalatunk stratégiája. Az első 
az, hogy a biztonság elsőrendű prioritás- 
ként szerepel mindegyik termékünk elké- 
szítésekor. A második, hogy hozzájuttas- 
suk ügyfeleinket minél több biztonsággal 
kapcsolatos információhoz. Harmadsor- 
ban pedig megoldásokat keresünk a biz- 
tonsági alapelvek, az állami szabályozás, 
az infrastruktúra-védelem és az ezekhez 
hasonló, tágabb kérdéskör problémáira. 

Hamarosan elindítunk egy új webhe- 


vállalati — információkhoz. A bejövő 
webkérésekre az ISA Server webkiszol- 
gálóként reagál, az ügyfél kéréseit pedig a 
saját gyorsítótárából szolgálja ki, és csak 
azokat a kéréseket továbbítja a webkiszol- 
gáló felé, amelyeket nem tud innen kiszol- 
gálni. 

Az integrált tűzfal és gyorsítótár a biz- 
tonságos és gyors internet-kapcsolat meg- 
teremtésében segít. (2) 


biztonsági hibák 200- 


Forrás: John McCormick, TechRepublic, 
2001. szeptember 24, a Security Focus 
Bugtrag adatai alapján 


lyet, amely kizárólag a biztonság témakö- 
rével — foglalkozik — (www.microsoft. 
com/hun/biztonsag), és igyekszik vá- 
laszt adni az egyéni és vállalati felhaszná- 
lók online adatvédelemmel kapcsolatos 
leggyakoribb kérdéseire. A webhely is- 
merteti az adatvédelem és a biztonság 
növelését segítő szoftvereszközök külön- 
böző változatait. A Microsoft új webhelye 
olyan konkrét információkkal szolgál a 
felhasználóknak, amelyeket a gyakorlat- 
ban is alkalmazhatnak, és amelyek révén 
biztonságérzetre tehetnek szert. 

Biztonsági szempontból az a webhely 
fő üzenete, hogy az interneten kockázat 
nélkül lehet ténykedni, amennyiben az 
ember megtesz bizonyos egyszerű óvin- 
tézkedéseket. Összevethetők a különféle 
vélemények, illetve összehasonlíthatók a 
különböző termékek, így a világhálón el- 
érhető információk széles köre révén 
mindenki mérlegelheti, hogy pontosan 
mire is van szüksége. 

Végül, de nem utolsósorban kiemel- 
ném a Microsoft Magyarország rendszer- 
mérnökei által vezetett nagysikerű 
Technet  szemináriumainkat, amelyen 
meghívott vállalati ügyfeleink rendszer- 
gazdái, üzemeltetési szakemberei napra- 
kész ismereteket szerezhetnek a Micro- 
soft biztonságtechnológiai stratégiájáról, 
valamint többek között arról is, hogyan 
tehetők biztonságossá a vállalati rendsze- 
rek, hálózatok. V.P. 
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Microsoft Windows KP Professional 8 Office KP Professional 


Desktop biztonság 


A Microsoft Office 97 és a Microsoft Windows 98 piacra ke- 


rülése óta jelentős mértékben megnőtt a számítógépes háló- 


zatokat érő fenyegetések száma. Az Office XP 
Professional és a Windows XP Professional 
megjelenésével a Microsoft a korábbinál 
sokkal kiterjedtebb eszköztárat bocsát a 


vállalatok rendelkezésére informatikai 


erőforrásaik védelmére. 


gyre több vállalkozás használ infor- 

mációs rendszereket, s akár végze- 

tes következményekkel is járhat, ha 
a védelem megsérül. A vállalatokat érő tá- 
madások eredménye a szolgáltatásmegta- 
gadástól a bizalmas információk megsérü- 
léséig vagy elvesztéséig terjedhet. A kiszol- 
gálókon és a felhasználók munkaállomá- 
sain tehát mindent meg kell tenni az integ- 
ritás fenntartása és az adatok védelme ér- 
dekében. 

A Microsoft Office 97 és a Microsoft 
Windows 98 bevezetése óta a Microsoft 
a kor jellemző fenyegetéseit és biztonsági 
kockázatait figyelembe véve folyamato- 
san fejleszti termékeit. A Microsoft Win- 
dows XP Home Edition és a Microsoft 
Windows XP Professional, illetve a Mic- 
rosoft Office XP Professional is számos új 
biztonsági szolgáltatást nyújt, amelyek 
révén a rendszergazdák hatékonyan vé- 
dekezhetnek napjaink jellemző támadá- 


A Microsoft Office szolgáltatásai 


Biztonsági szolgáltatás Office 97 
Dokumentum digitális aláírása 
Adatvédelem 


Adat-visszaállítás 


Az Office 97-ben megjelent újdonság 


sai ellen. A Windows XP és az Office XP 
egyaránt a szolgáltatások széles választé- 
kát állítják hadrendbe a vállalat védelme 
érdekében. Az XP környezet finombeállí- 
tásával a rendszergazdák a vállalat biz- 
tonsági házirendjének és gyakorlatának 
gokról gondoskodhatnak. Az XP környe- 
zet magasabb fokon támogatja a közpon- 
ti felügyeletet és a biztonsági funkciók 
kezelését is, a telepítőeszközöktől kezd- 
ve egészen az Active Directory szolgálta- 
tásig. 


Windows XP 


A Windows XP ellenőrzi és kezeli az 
adat be- és kiviteli műveleteket, illetve a 
helyben tárolt adatok védelméről is gon- 
doskodik. Ezenkívül további funkciókat is 
tartalmaz a konfiguráció kezelésére és a 
felhasználói jogok ellenőrzésére. Vegyük 


Office 2000 


Támogatva 
Automatikus mentés 


Automatikus mentés 


Makróvédelem 
használatára 


Biztonsági sablonok és eszközök 
Outlook biztonsági szolgáltatásai ! Minimális 
Dokumentumvédelem 


Megnyitáskor rákérdezés a makrók 


A telepítőeszközök az Office Resource 
Kit részeként szerezhetők be 


Csak olvasható, Ellenőrzésre és 


1. és 2. szintű csatolt fájlok 
További verziók és Titkosítás 


Jelszavas védelem 
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A telepítőeszközök az Office Re- 
source Kit részeként szerezhetők be [központi felügyeleti szolgáltatások 


sorra most a Windows XP fontosabb biz- 
tonsági szolgáltatásait. 

A Windows XP titkosított fájlrendszere 
(EFS) segítségével a felhasználók titkosított 
könyvtárstruktúrában helyezhetik el érzé- 
keny állományaikat. A csak megfelelő jo- 
gokkal rendelkező felhasználók számára 
elérhető fájlokat az alkalmazások automa- 
tikusan titkosítják és fejtik vissza. A titkosí- 
tott fájlok és mappák a többi fájlhoz és 
mappához hasonlóan használhatók, mivel 
a felhasználó számára a titkosítás folyama- 
ta átlátszó. 

A hálózaton keresztül továbbított adatok 
titkosítására az Internet Protocol Security 
(IPsec) és a PPTP titkosítást kell használni. 
Az EFS a titkosított fájlok visszaállítására is 
képes. A hitelesített rendszergazdák akkor 
is hozzáférhetnek a titkosított tartalomhoz, 
ha az eredeti felhasználói azonosítók meg- 
sérültek. 

A felhasználói, illetve számítógépes kör- 
nyezet beállításainak kezelésére használ- 
hatjuk a házirendeket, amelyek segítségé- 
vel — adott funkciókat szükség szerint ki- 
és bekapcsolva — a rendszergazdák egysé- 
gesen és egyszerűen kezelhetnek nagy 
számú asztali számítógépet. A csoporthá- 
zirend beépülő modul segítségével a cso- 
portházirend-beállítások központilag, az 
Active Directory szolgáltatás segítségével 
adhatók meg. Az adatvesztések megelőzé- 
se, illetve az adatok visszaállítása is a Win- 
dows XP alapszolgáltatásai közé tartozik. 
A biztonsági mentés alkalmazásával a fel- 
használók beépített és eltávolítható adat- 
hordozóra egyaránt lementhetik állomá- 
nyaikat és mappáikat. 


Office XP 

Az Office XP-ben megjelent újdonság 
"Támogatva 

Az Office XP-ben megjelent újdonság 


Automatikus visszaállítás 


Magas, közepes és alacsony bizton- ! Magas, közepes és alacsony biztonsági 
sági szintű felügyelet és kódaláírás 


szintű felügyelet és kódaláírás 
Továbbfejlesztett telepítőeszközök és 


Sokkal jobb és rugalmasabb 
Újabb közzétételi lehetőségek 
Továbbfejlesztett titkosítás 
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A Microsoft Windows szolgáltatásai 


Biztonsági szolgáltatás Windows 98 


Vezeték nélküli hálózatok 
támogatása 


Internetes tűzfal 


Biztonságos hálózat (IPSec) 


Felhasználói szintű biztonság meg: 
osztott fájlokhoz és mappákhoz 


Titkosított fájlrendszer 


Nyilvános kulcsú infrastruktúra 
Csoportházirend-objektumok 
Naplózás 


Intelligens kártyák támogatása Külső gyártó 


Windows 2000 Windows XP 


A Windows XP-ben 
megjelent újdonság 


A Windows XP-ben 
megjelent újdonság 


Az ISA Server 


révén elérhető 
Alapszolgáltatás Alapszolgáltatás 


Alapszolgáltatás Alapszolgáltatás 


Alapszolgáltatás Alapszolgáltatás 
Alapszolgáltatás 
Alapszolgáltatás 
Alapszolgáltatás 


Alapszolgáltatás 


Alapszolgáltatás 
Alapszolgáltatás 
Alapszolgáltatás 
Alapszolgáltatás 


termékével elérhető 


A Windows XP a kapcsolat nélküli fájlok 
szinkronizálásáról is gondoskodik. Amikor 
a számítógép újra hálózati kapcsolatot lé- 
tesít, az esetleges módosításokat automati- 
kusan szinkronizálja a kiszolgálóval, az 
ideiglenes helyi fájlokat pedig törli. 

A Windows XP támogatja a nyilvános 
kulcsú tanúsítványokat és a nyilvános kul- 
csú infrastruktúrát (Public Key Infrastruc- 
ture, PKI).. A megszokott felhasználó- 
név-jelszó párosításnál erősebb biztonsá- 
got igénylő vállalatok számára a Windows 
XP beépített intelligenskártya-támogatást is 
nyújt. A Windows XP-t ugyanakkor kiter- 
jedt naplózási képességekkel is ellátták, 
amelyek segítségével megfigyelhetők és 
felismerhetők a számítógépes környezet- 
ben előálló, nem kívánt vagy váratlan ese- 
mények. 

A vezeték nélküli hálózatok beépített tá- 
mogatásával a Windows XP egyszerű 
módszert kínál a hordozható eszközök, 
köztük PDA-k, mobiltelefonok és további 
számítógépek hálózatba kötésére. 


Office XP 


Az Office XP a Windows XP biztonsági 
szolgáltatásaira épít. 

A digitális aláírás az adatok módosítása 
ellen kínál védelmet, egyúttal biztosítja a 
dokumentum hitelességét. A kódaláírás 
hasonló a digitális aláírásokhoz, ám az 
ilyen aláírást futtatható programkódon 
vagy makrón lehet elhelyezni. 

Az Office XP alkalmazások mindegyike 
számos hozzáférés-vezérlési lehetőséget, 
valamint a különböző alkalmazásfunkció- 
kat letiltó vagy engedélyező tulajdonságla- 
pot és telepítősablont is tartalmaz. 

Az Office XP-ben jelentősen javult a 
makrók kezelése és futtatásuk biztonsága. 


A legtöbb Office XP alkalmazás képes ar- 
ra, hogy a makróbiztonságot az , alacsony- 
tól" a ,magasig" terjedő széles skálán ha- 
tározza meg. 

A Word, az Excel, az Access és a Power- 
Point különféle szolgáltatásokkal segítik a 
dokumentumok védelmét a meghatalma- 
zás nélküli hozzáférésektől és módosítá- 
soktól. Ezek a funkciók az operációs rend- 
szer EFS szolgáltatásával és megosztási 
szintű engedélykezelésével párhuzamosan 
is használhatók. A dokumentumok eléré- 
sét a felhasználók fájl szintű védelemmel 
szabályozhatják. A szerző emellett jelszó- 
val is védheti a dokumentumot módosítás 
vagy megnyitás ellen. 

A Microsoft Word további védelmi és 
változáskövetési funkciókat is tartalmaz, 
így az ellenőrzési ciklusban részt vevő 
dokumentumokat a szerkesztők és a lek- 
torok úgy módosíthatják és láthatják el 
megjegyzésekkel, hogy eközben az ere- 
deti változatot is megőrizhetik. A Word 
lehetővé teszi azt is, hogy a dokumen- 
tumnak csak adott részeit védjük a módo- 
sításoktól. Az Excel hasonlóan teszi lehe- 
tővé bizonyos cellatartományok védel- 
mét, az Access pedig különféle módsze- 
rekkel ellenőrzi az adatbázis objektumai- 
nak (pl. táblák, lekérdezések, űrlapok 
stb.) elérését. 

A Microsoft Office XP két lényeges fej- 
lesztéssel támogatja a bizalmas jellegű 
adatok védelmét. A felhasználók az általuk 
megadott jelszót kulcsként használva 
titkosíthatják a fájlokat, amelyeket így azo- 
nosítatlan személy nem olvashat el. Az 
Office alkalmazások ugyanakkor képesek 
a kiegészítő információk (pl. a dokumen- 
tum tulajdonságai, címe, szerzőjének neve 
stb.) eltávolítására is, így a közzétett doku- 
mentumokkal nem továbbítódnak a fel- 


használóval kapcsolatos adatok. Számos 
fenyegető tényezőt sikerült kiküszöbölni 
az Outlook 2002 fejlesztése során is. Alap- 
értelmezett beállításként az Outlook 2002 
sokkal szigorúbban kezeli bizonyos típusú 
csatolt fájlok fogadását és küldését, illetve 
a címlista elérését. A rendszergazdák a 
vállalati követelményeknek megfelelően 
szabhatják testre a biztonsági beállításo- 
kat. 

Az Outlook 2002 biztonsági modellje 
támogatja az S/MIME v3 szabványt, 
amellyel a felhasználók biztonságosan le- 
velezhetnek más S/MIME e-mail ügyfél- 
programok felhasználóival a szervezeten 
belül vagy az interneten keresztül. A digi- 
tális aláírási és titkosítási lehetőséggel az 
Outlook 2002 minden segítséget megad a 
felhasználó adatainak védelméhez akár tá- 
rolás, akár továbbítás közben. 

Az Outlook 2002 biztonsági funkciói 
között szerepel még a biztonsági címkék 
és az aláírt nyugták használata, amelyek- 
kel biztonságosabbá tehető az elektroni- 
kus levelezés, és testreszabhatók a bizton- 
sági szolgáltatások. 

Valamennyi Office XP alkalmazás úgy is 
beállítható, hogy a telepített COM bővít- 
ményeket automatikusan megbízhatóként 
kezelje. Ekkor az alkalmazások aláírásuk 
ellenőrzése nélkül automatikusan betölte- 
nek minden, a megbízható mappákban ta- 
lálható COM bővítményt, alkalmazás-spe- 
cifikus bővítményt és sablont. 

Értékes szolgáltatás még az új Automati- 
kus visszaállítás funkció, amelyet az Office 
XP összes alkalmazása támogat. Ha vala- 
milyen Office XP alkalmazás végzetes hi- 
bával találkozik, amely megakadályozza 
további futását, az Automatikus visszaállí- 
tás szolgáltatás megpróbálja ellenőrzött 
módon lezárni a programot, s elmenteni a 
dokumentum éppen szerkesztett változa- 
tát, illetve a lemezen tárolt ideiglenes vál- 
tozatokat is. 


Internet Explorer 6.0 


Az Internet Explorer 6.0 újdonsága a 
magasabb szintű adatvédelem, illetve to- 
vábbi fejlesztéseket tartalmaz a Windows 
XP Microsoft Authenticode biztonságos 
kódhozzáférésében. A Microsoft Outlook- 
hoz hasonlóan az Internet Explorer is tá- 
mogatja a biztonsági zónákat és szinteket, 
amelyekkel a felhasználó pontosan, zó- 
nánként szabályozhatja az adatok és ve- 
zérlők letöltését és futtatását. 


b Bankkártvák 


, 

rdemes megnézni azokat a módsze- 
E- amelyekkel megkopasztható 

az ügyfél és a bankja, hogy ameny- 
nyire csak lehetséges, védekezni tudjunk 
ellenük. A legfontosabb: van néhány 
aranyszabály, amelyet be kell tartanunk, 
ha plasztikkártyát használunk, ezek egy- 
ben a mindennapi túlélés szabályai is. 


A kártyahasználat 
szabályai 

KH SOHA ne írjuk fel a kánya titkos azo- 
nosító kódját. A PIN-t telefonon se mond- 
juk be soha, a bank ilyet nem kér, legfel- 
jebb a nevében bejelentkező csalók. Ha a 
bank nevében kérik a kódot, az minden- 
képpen beugratás. A banki telefonos tranz- 
akciók során más PIN kódot használunk, 
amelyet a bankkal való megállapodásunk 
rögzít. A bankok megint más kódot alkal- 
maznak az internetes home banking szol- 
gáltatásaikra. 


H A PIN kódot, ha a bank rendszere enge- 
di, a kézhezvétel után azonnal változtassuk 
meg olyanra, amelyet könnyen meg tudunk 
jegyezni. A legtöbb bank ezt ingyen vagy 
minimális díjért megengedi. Ezzel elkerül- 
jük a PIN felírásának biztonságot alaposan 
rontó műveletét. Ha megváltoztattuk a PIN 
kódot, akkor nyugodtan a kártya mellett 
hagyhatjuk az eredeti — immár nem érvé- 
nyes — cetlit a PIN kóddal. Ezzel elősegít- 
jük, hogy néhány rossz próbálkozás után 
az automata elnyelje a kártyát. 


H A tranzakciókról kapott nyugtát sohase 


hagyjuk a helyszínen. A rajta szereplő ada- 
tokkal visszaélhetnek! A legtöbb esetben 
rajta van a teljes kártyaszám vagy annak 


ESETÉBEN ÉLNE EEESESNT SSlt koszt 


Az OTP többféle bankkártyát kínál ügyfele- 
inek 
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Kártyák a neten 
és a zsebben 


A hitelkártyák és a különböző mágnescsíkos kártyák, illetve 


chipkártyák pénzt helyettesítő eszközök, ezért hamisításukra 


épp olyan nagy a kísértés, ha ugyan nem nagyobb, mint a 


pénz esetében. Ugyanakkor azt is el kell ismernünk, hogy a 


legtöbb kártya hamisítása nem igazán nehéz feladat. A ban- 


kok Magyarországon is számolnak a kártyacsalás kockázatá- 


val, együttműködésük következtében azonban ez a kockázat 


még elviselhető. 


nagy része, amellyel például visszaélhet- 
nek az interneten. Jobbfajta banki automa- 
táknál kérhető, hogy ne adjon bizonylatot. 
Vásárláskor ez sajnos kötelező. 


4] Amennyiben lehetséges, kérjünk a 


tranzakciókról rádiótelefonos automatikus 
értesítést. Így a klónozásos csalásokat ide- 
jében el tudjuk kapni. 


BH A kártyalehúzáskor ne engedjük, hogy 
elvigyék a kártyát a szemünk elől. Kísérjük 
végig a kártya útját, mert ezzel meg tudjuk 
akadályozni a másolatok készítését. 


BH A hó végi kimutatásokat és a bizonyla- 


tokat vessük össze. Ezzel felfedezhető a 
duplázásos csalások nagy része. 


KA Több kányánk legyen, különböző 


pénzintézeteknél. Mindig azt használjuk, 
amelyik hitel- és limitfeltételei a vásárlás- 
kor a legoptimálisabbak. Ezzel elkerülhet- 
jük, hogy pénz nélkül maradjunk. Ezeket a 
kártyákat sohase tartsuk egyetlen helyen. 


tiltsuk le a kártyát. Ezzel a klónok is hasz- 
nálhatatlanná válnak! Olcsóbb kifizetni a 
tiltást, mint futni a számlánkon tartott pénz 
után. 


webkártyája 


Ennyi jó tanács után nézzük, miféle fur- 
fangokkal tudják kifosztani az ügyeskedők a 
pénztárcánkat és a bankot egyaránt. Ehhez 
tudnunk kell, hogy a kártyahasználat során 
kétféle fizetési módszert alkalmazunk. 

Az egyik a card present típusú fizetés, 
ahol a kártya fizikailag is jelen van a fize- 
tés során. A kártyák egy részén erre szolgál 
a CV kód is az aláírássávon. A másik a 
card not present típusú fizetés. Ilyenkor a 
kártya nincsen jelen, a kártyaadatok meg- 
adásával kezdeményezünk fizetést. Az 
ilyen típusú fizetésekkel követik el a visz- 
szaélések nagy részét. Most pedig tekint- 
sük át a kártyahamisítások legfőbb fajtáit. 


Adatbiztonság 2002 


BANRTEGHNIKA 


Kamulálás 


A módszer lényege, hogy egy nem léte- 
ző, de hihető kártya adatait hozzuk létre. 
A számítástechnika alvilágában megtalál- 
ható számtalan programcsomag segítségé- 
vel minden további nélkül létrehozhatunk 
ilyen kártyaszámokat. Mégpedig vagy a 
saját kártyaszámunk extrapolálásával vagy 
pedig teljesen új számok generálásával. 

A kártyaszám felépítése teljesen 
publikus. Az első számcsoport adja a kár- 
tyafajtát és a bankot, a következők a típus- 
és a sorszámot, amelyeket a végén egy el- 
lenőrzőszám követ. Egyes kártyatípusoknál 
létezik még egy card presenfellenőrzőkód 
is a kártya hátoldalán, amely a kártyaszá- 
mot követi, de ennek itt nincs jelentősége. 

Ha ezeket a generált számokat és a mel- 
léjük költött, de hihető adatokat a neten 
kisösszegű fizetésekhez használják fel — ál- 
talában 5 dollár vagy 10 német márka alatt 
— akkor a rendszer az autorizálást csak ne- 
gatív lista alapján végzi el, azaz azt nézi, 
szerepel-e a kártya a letiltottak között. A 
meglopott cég csak akkor kap észbe, ami- 
kor a banktól le akarja hívni az összeget. 


EUROCARO 


A ConCorde Direct értékpapír-forgalmazó 
a Raiffeisen Bankkal közösen kínál ügyfele- 
inek teljes körűen felhasználható Eurocard- 
MasterCard bankkártyát 


A bankok ilyenkor általában fizetnek, a 
kisösszegű kár jelenleg éppen a kezelhető 
kockázat körébe tartozik. Lebukás esetén 
viszont a , díja" ugyanaz, mintha egy ezer- 
forintost . hamisítottunk volna. "Vannak 
ugyanis olyan bankkal összefonódott szer- 
vezetek is, amelyek a kisösszegű kifizeté- 
seket is autorizálják. Ez pedig lebukási 
kockázattal jár. 

Ha az adatokat mágnescsíkra írják, egy- 
két helyen még kisösszegű online tranzak- 
ciót is kezdeményezhetnek a kártyával, hi- 
szen a társbanki autorizálás is pénzbe ke- 
rül, és a bankok a kezelhető kockázat mér- 
tékéig ezt inkább magukra vállalják. 

A jelenség tömegessé válását egy idióta 
— de ma is egyre gyakrabban alkalmazott — 


amerikai jogszabály idézte elő, amelynek 
nyomán az internetes szexoldalak, mégha 
ingyenesek is, hitelkártyaszámot kérnek a 
nagykorúság igazolására, egyes szolgálta- 
tók pedig szolgáltatásaik ingyenes kipró- 
bálását a hitelkártyaszám megadásához 
kötik. Ez az egyetlen eset, amikor kamulált 
kártyaszámot KELL a saját érdekünkben 
használni. Ezek a rendszerek — ellenőriz- 
hetetlenségük, adatkezelésük miatt — a kár- 
tyaszám-lenyúlások leggyakoribb forrásai. 
Vagy pedig ne nézzük a széplányokat 
ilyen helyeken. 

A tanulság egyértelmű: a plasztiklap fi- 
zetésre való és nem másra. Aki másra 
használja, az jogosulatlan adatkezelést kö- 
vet el, és elősegíti a hamisítási üzletág fel- 
virágzását. A kamulálás esetében a veszte- 
ség azt a bankot terheli, amelynek a kár- 
tyáját kamulálták, illetve ha nem fizet a 
bank, akkor a szolgáltatót. 

A további csalástípusok már a kártyabir- 
tokos számlájára mennek, éppen ezért a 
kispénzű emberek számára igencsak ve- 
szélyesek. A csalók ügyesek, és általában a 
számlákat, sőt a hitelkeretet is teljesen le- 
fosztják. Ilyenkor egyetlen lehetőség ma- 
rad: a bankkal való hosszadalmas egyez- 
kedés, a rendőrségre járás, de még akkor 
sem lehetünk biztosak abban, hogy hozzá- 
jutunk-e a pénzünkhöz, vagy pedig a bank 
nyilvánít bennünket nem kívánatos sze- 
mélynek. A bankok nem szeretik a problé- 
más ügyfeleket. 


vLiftes csalás" 


Az internetes kereskedelemben jelent 
meg a legújabb trükk, amelynek a káro- 
sultja a bank és az internetes kereskedő- 
ház. Az egyre terjedő módszer szülőatyáit 
a közelmúltban küldték hűvösre Oroszor- 
szágban, de a módszert mégis sokan alkal- 
mazzák. 

A módszert mindig valamelyik interne- 
tes áruházzal szemben vetik be. A csaló 
ilyenkor bankszámlát nyit, mondjuk Uk- 
rajnában, majd utána honlapot indít a 
neten. A honlapján egy az egyben hirdeti a 
kiszemelt internetes áruház kiszemelt ter- 
mékeit. Fizetni átutalással kell, mondjuk a 
megadott ukrajnai vagy akár kajmán-szi- 
geteki bankszámlára, esetleg le is tudja 
hívni a pénzt a hitelkártyáról. Mivel a 
megrendelés is valahol a világban megbú- 
vó barátunkhoz fut be, ő ilyenkor folytatja 
a mókát. Máskor a pénzt fogja el, és nem 
fárad további ténykedéssel, mondjuk az 


áru vagy a szolgáltatás értékesítésével. 
Csupáncsak hamis linkeket helyez el a vi- 
lágban, amelyek beterelik hozzá a gyanút- 
lan felhasználót. A pénzt megkapta, de 
nem jó a nyűgös vevő. Ezért a vevő adata- 
ival, annak nevében immár más áruházak- 
ban is megrendeli az árukat és szolgáltatá- 
sokat, neki szóló szállítási címmel. Vagy 
az egész adatbázisát egyszerűen eladja 
más csalóknak. 

A másik módszernél lopott hitelkártyá- 
val fizet a jó helyett, amelyről ő inkasszált 
az eredeti áru hirdetőjénél. Ilyenkor az áru 


Az Inter-Európa Bank tiniknek szánt bank- 
kártyája belföldön és külföldön egyaránt 
használható 


megjön, csak a pénz nem a szolgáltatónál 
köt ki. Így a csalónak megmarad a teljes 
összeg tisztán, az áruház, a hitelkártya tár- 
saság és a hitelkártya igazi birtokosa pedig 
elvitatkozhat az összeg jogosságán. Az 
amerikai tapasztalatok szerint az árut ter- 
mészetesen nem adják vissza azok, akik 
megrendelték, hiszen fizettek érte. A szállí- 
tási cím, meg a bankszámla közötti távol- 
ság senkinek sem tűnik fel, hiszen a jelen- 
legi adó- és vámrendszerek még sok eset- 
ben a nyugati polgárokat is ügyeskedésre 
kényszerítik. 


A kártya klónozása 


A klón annyit jelent, hogy az egy pél- 
dányban létező kártyát valamiféleképpen 
megtöbbszörözik, s az eredeti kártya és a 
klónja az eset felderítéséig egyszerre léte- 
zik az időben. És természetesen amíg le 
nem bukik a számlaegyenlegek egyezteté- 
sével, más is fizet a mi kártyánkkal. 

A klónozásnak több alaptípusa ismert. 


Ikresítés 


Az ikresített kártya pontosan azonos az 
eredetivel. A kártyát ilyenkor még egyszer 
lehúzzák, majd a lehúzott kép mellé a 
mágnescsíkot is lemásolják. Utána követke- 
zik a legnehezebb dolog, a kártya tökéletes 


másolatának az előállítása. Ehhez általában 
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Bankkártyák 


több lopott, lejárt, de a hamisítandóval 
megegyező kártyát használnak. A 
legmacerásabb hamisítás ez, mert ezred- 
milliméteres pontossággal, darabokból ál- 
lítják össze az új kártyát, amely a megté- 
vesztésig hasonlít az eredetire. Természete- 
sen a fényképes kártyák erre alkalmatlanok. 


A Fujitsu POS terminálját a gyorséttermek- 
ben használják 


Az ikresített kártyát pontosan úgy hasz- 
nálják, mint az eredetit, és az az előnye is 
megvan, hogy a hátlapon az aláírást a ha- 
misító kicserélheti a sajátjára. A kártyatár- 
saságok ezért helyeznek el az utóbbi négy- 
öt évben biztonsági jegyeket az aláírás- 
sávon is. A módszert elsősorban a jó kéz- 
műves kultúrájú országokban használják, 
de Törökországban, Olaszországban is 
előfordul. Előnye, hogy a beváltáshoz nem 
kell beavatni a kereskedőt is. 


Stemplizés 

A beavatott szám-összeszedő még egy- 
szer lehúzza a papír slipet a beváltás során. 
Ez kerül át a kártyahamisítókhoz. Ők ennek 
alapján a bélyegzőkészítéshez hasonló el- 
járással elkészítik a kártya dombornyomású 
részét. Utána ezek a stemplik elkerülnek a 
beavatott kereskedőkhöz, akik erről hagyo- 
mányos papírslipes-gyalus módszerrel le- 
húzzák a banki papír slipet, és benyújtják a 
fizetési igényt. Amikor megjön az általában 
egyszerre nagyobb tömegben benyújtott le- 
vonatokért járó pénz, a vállalkozás eltűnik. 


Duplázás 

Ekkor a csaló kereskedő vagy legalább 
kétszer húzza le a papír slipet, majd a má- 
sodik garnitúrát is benyújtja, vagy pedig az 
elektronikus kártyaolvasó POS-t manipulál- 
ják. Ebben az esetben a POS akár a PIN 
kóddal együtt is tárolhatja a korábbi tranz- 
akciókat, amelyeket újra el lehet küldeni 
más összeggel. Ez a fajta manipuláció, ha 
ügyesen csinálják, eléggé nehezen leplez- 
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hető le, csak a terhelések pontos nyilvántar- 
tása segíthet. Ilyenkor általában viszonylag 
kis összegekkel és többször próbálkoznak. 

A fejlettebb megoldásnál ezek az adatok 
kinyerhetők a manipulált POS. memóriájá- 
ból, és akár a világ másik pontján is újra 
felhasználhatók. 

Felírás 

Magyarországon ez a módszer igen díva- 
tos volt egyes helyeken, mára azonban je- 
lentősen visszaszorult. Évekkel ezelőtt az 
M1 akkor még kapukkal ellátott fizetős sza- 
kaszán ilyen típusú visszaéléseket leplezett 
le a rendőrség. Itt annyi történik, hogy a 
kártyát még egyszer lehúzzák a hivataloson 
kívül. Erre egy apró, tenyérben nagyon jól 
elrejthető eszközt alkalmaznak, amely pár- 
száz mágneskártya mágnescsíkjának tartal- 
írók általában fejpénzt kapnak a lehúzott 
kártyák után. 

Az így megszerzett adatok nem tartal- 
mazzák a PIN kódot, ami azt jelenti, hogy 
áruvásárlás céljára használhatók fel. A vi- 
lágban a bűnszövetkezeteknek számos be- 
avatott partnerük van. Ezek a felírt mág- 
neskártya sávot adatvonalon keresztül 
megkapják, majd újra kiírják egy akármi- 
lyen plasztiklapocskára. 

A technológia nem bonyolult, alig száz 
euróból, kereskedelmi eszközökből össze- 
rakható. Az ügyfél nevében a hamisítván- 
nyal olyan kereskedőknél vagy pénztáros- 
oknál eszközölnek vásárlásokat, akik nem 
akarják észrevenni, hogy nem hitelkártyát 
húznak le hitelkártyakánt. A kapott árut 
azután újra értékesítik, így jutnak a pén- 
zükhöz. 


Kártyaszám adatbázis lopás 


Az internetes kereskedelemben van egy 
rossz szokás: a cégek adatbázisokban tá- 


Az InterCard POS terminálja analóg vagy 
ISDN vonalon egyaránt működtethető 


rolják az ügyfeleik kártyaszámát. Ha eh- 
hez az adatbázishoz valaki hozzáfér, 
olyan adatsort szerezhet meg, amely az 
elektronikus kereskedelemben, pontosab- 
ban a card not present típusú fizetéseknél 
használható fel. 

A dolog még súlyosabb, ha a cégnél 
nem is a neten lévő, de különben jól vé- 
dett adatbázist lopja el egy illojális alkal- 
mazott, amire szintén van példa bőven. A 
leleplezés itt is csak a kártyás tranzakciók 
követésével lehetséges. 

Összefoglalva megállapíthatjuk, hogy a 
kártyahamisítások és manipulálások köre 
igen széles. A jó rendszer, a lojális alkalma- 
zottak csak csökkenteni tudják a veszélyt. 
Ugyanakkor fenyegető az a jelenség is, 
amelyet itthon lehet tapasztalni, hogy egyes 
kereskedőhelyek a fizetéskor kérik a PIN 
kódot, amely így könnyen ,lesasolható". A 
gépek manipulálási lehetőségeitől eltekint- 
ve a boltokban nincsenek meg a PIN be- 
adásának korrekt feltételei. 


Íme egy tipikus vendéglői POS terminál (a 
RestaurantPlus cég terméke) 


A jövő valamivel nagyobb biztonságot 
ígér. De ez a biztonsági többlet az életet is 
megnehezíti. Ilyen például a chipes bank- 
kártya, amelynek használata a leolvasóktól 
és az ezekkel ellátott számítógépektől 
függ. A megfelelő intelligens eszközök 
jópár primitív trükköt ellehetetlenítenek 
ugyan, de a card not present típusú fizeté- 
seknél továbbra is fennáll a csalás lehető- 
sége. A klónozás nehezebbé válik, de ha a 
rádiótelefon kártyát is klónozni lehet, ak- 
kor semmi sem lehetetlen. 

A bankok a hamisítás ellen egy újabb 
módszerrel is védekeznek. Ez a felhaszná- 
lói profil követése. Azaz igyekeznek ki- 
szűrni az olyan típusú tranzakciókat, ame- 
lyek szokatlanok. Ilyenkor — a normálisabb 
banknál — rövidesen csörög a telefon, és 
így kérnek megerősítést. A kevésbé normá- 
lis banknál az ügyfélnek kell kinyomoznia, 
vajon miért nem működik a kártyája, 
mondjuk Szingapúrban. 

Kis János 


Adatbiztonság 2002 


Kislexikon 


b Autorizáció: A kártya meglétének, ér- 
vényességének és fedezetének ellen- 
őrzése a kártyakibocsátó bank, illetve a 
kártyaszervezet elektronikus rendsze- 
rében. Eredménye egy engedélykód, 
amelyre a rendszer később, a folyamat 
során végig hivatkozik. Amennyiben az 
autorizációs folyamat negatív, a fizetés 
nem teljesíthető. 

p Bankkártya: Olyan plasztiklap, amely 
csak a számla tulajdonjogát igazolja, 
és arról legfeljebb pénz felvételére jo- 
gosít a bank automatájából. Általában 
valamely egyéb szolgáltatás logójával 
is kombinálják. Ilyen esetben elektroni- 
kus tranzakcióban  debitkártyaként 
használható fel (Maestro), vagy 
bankautomatából pénz felvételére jo- 
gosító funkciója van (Cirrus). 

ECPR azaz Card Present típusú fizetés: A 
kártyának fizikailag jelen kell lennie a fi- 
zetéskor. Ilyen, amikor boltban a kártya 
lehúzásával fizetünk, vagy pénzt ve- 
szünk fel az automatából. Az eladóhe- 
lyek általában erre a módra kötnek 
szerződést. 

PCNPR azaz Card Not Present típusú fize- 
tés: Minden internetes tranzakció ed- 
dig ilyen volt. Azaz a kártyának nem 
kellett fizikailag jelen lennie az 
internetes fizetéskor, csak ellenőrző 
adatainak, újabban beleértve a CV kó- 
dot is. A chipkártya, amennyiben a szá- 
míitógéphez olvasó is csatlakozik, lehe- 
tővé teszi a CP típusú fizetést. 

pCV azaz card validate vagy card present 
kód: A bankkártya hátoldalán, az aláírás- 
csíkon egy számcsoporttal több van, 
mint a kártyán. Ez a CV kód, amelyet 
eredetileg annak ellenőrzésére találtak 
ki, hogy a kártya fizikailag is jelen van-e 
fizetéskor. Most egyes elektronikus fize- 
tési rendszerek kérik, bár az ajánlások 
szerint ez nem lenne szabályos. 

pChipkártya: Most terjedő fokozott biz- 
tonságú bankkártya, amelyen az azo- 
nosításhoz szükséges adatokat egy 
szabványos mikroprocesszor chip tar- 
talmazza. Magyarországon csak aK § 
H Bank bocsát ki ilyet. Általában ezek a 
kártyák is rendelkeznek mágnescsíkkal 
a hagyományos rendszerekkel való 
kompatibilitás miatt. Hátrányuk, hogy 
cserélni kell a teljes fogadó infrastruk- 
túrát, a számítógépeket pedig kártyaol- 
vasóval és programmal kell ellátni. A 
mikrofizetésekre használt elektronikus 


pénztárca is chipkártyán alapul. 
pDebitkártya: Csak a számlán lévő pénz 

értékéig költhet a kártya tulajdonosa. A 

legtöbb klasszikus kártya ilyen. 

p Elektronikus bankkártya: Olyan NEM 
dombornyomású mágnescsíkkal ellá- 
tott kártya, amely kizárólag POS-nél 
használható fel. Használata a kártya fi- 
zikai jelenlétét feltételezi, a bankok ál- 
talában internetes fizetésre nem enge- 
délyezik. 

p Home bankig: Interneten vagy a bank 
által adott programmal, megfelelő kódo- 
lással a számla kezelése és esetleges 
tranzakciók kezdeményezése az otthoni 
vagy munkahelyi számítógépről. 

p.Kártya használója, azaz cardholder: Az a 
személy, akinek nevére szól a kártya. 

pKártyaszám: Adott szabály szerint kép- 
zett szám, amely a kártyát azonosítja. 
Részei: bank és kártyatípus azonosító, 
amely általában az első négy szám, az 
utolsó szám a modulo összeadással 
képzett ellenőrzőköd, Ebből egyes ki- 
bocsátók még összeállítják a CV kódot, 
amely csak az aláírás csíkon, a kártya- 
szám utáni számcsoportként található. 
Nemzetközi . egyezmények alapján 
MINDEN kártyaszerű kibocsátásnak, 
amennyiben sorszámot visel, rendel- 
keznie kell ezzel a számozási rendszer- 
rel akkor is, ha az nem bankkártya, ha- 
nem mondjuk ügyfélszolgálati azo- 
nosítókártya, húségkártya stb. Ez egy- 
ben lehetőséget ad a banki rendsze- 
rekben az egységes kezelésre is. 

b.kártya tulajdonosa: A mindenkori kibo- 
csátó bank, illetve kártyaszervezet. 
Ezért a talált kártyákat és sok esetben 
a lejártakat is nekik kell visszajuttatni, 
ahol ellenőrzött körülmények között 
megsemmisítik őket. A kártya haszná- 
lója nem tulajdonos. 

p.Klónozás: Lenyúlt adatok alapján egy 
másik kártya előállítása, így a kártyából 
két érvényes példány létezik a letiltá- 
sig. 

betiltás: A lopott, elveszett vagy fedezet 
nélküli kártyákat a kibocsátó bank letilt- 
ja. Ilyenkor az autorizációs folyamat ne- 
gatív eredményt ad, a fizetés nem tel- 
jesíthető. A letiltásért a kártya haszná- 
lójának kell fizetnie, cserébe új kártyát 
kap, ha megfelel a feltételeknek. A kár- 
viselést a bank és a közte lévő szerző- 
dés szabályozza, esetleges viszontbiz- 
tosításokkal. 


p.Hitelkártya: A számla tulajdonosa adott" 
hitelkeretig folyamatosan költhet. A va- 
lódi hitelkártyák jellemzője, hogy nem 
igényelnek számlán tartott pénzt, a hi- 
telt adott határidőig részben vagy egé- 
szében kell visszafizetni. 

p/nternet bankkártya: Kizárólag interne- 
tes fizetésre találták ki, először Ma- 
gyarországon kezdték használni. Általá- 
ban fizikai valójában nem is létezik, 
csak egy szintaktikailag a kártyaszám- 
nak megfelelő számsor, amely mögött 
egy elkülönített számla húzódik. Van 
olyan bank, ahol a számlaszám egy 
tranzakcióra szól. Másutt a szám állan- 
dó, csak össze van kötve az elkülöni- 
tett számlával, ahova éppen annyit 
tesznek át a felhasználók, amennyi az 
adott tranzakcióhoz kell, 

bLenyúlás: Más hitelkártya számának 
megszerzése trójai programmal vagy 
egy fizető tranzakciós szerver feltöré- 
sével. Tipikus internetes bűncselek- 
mény. A tulajdonos számlája ezután 
fiktív vásárlásokkal megcsapolható. 

pMikrofizetés: A kisösszegű díjak kifize- 
tésének eszköze, általában 5 euróig. A 
mikrofizetéseknél nem minden tranzak- 
ció esetén van banki autorizáció, ha- 
nem a nap során egyszer vagy több- 
ször a fizetéseket összegyűjtve. Eszkö- 
ze lehet a számláról adott címletű adat- 
csomagokkal feltöltött elektronikus 
pénztárca, vagy az emelt díjú SMS, ahol 
a díjat a telefonszolgáltató szedi be. 

PPIN: Personal Identification Number, az- 
az titkos kód, amelyet meg kell adni 
egyes tranzakciók alkalmával vagy 
pénzfelvételkor a bankautomatából. A 
bankok nem vállalnak lopás esetén fe- 
lelősséget, ha a számot a kártya mel- 
lett tároljuk, és azzal együtt kerül a tol- 
vaj birtokába. 

PPOS: Point of Sale, elektronikus elfoga- 
dópont vagy bankterminál. 

b.Sasolás: A PIN kód ellopása azzal, hogy 
megfigyelik a kéz mozgását a boltok- 
ban, vagy a rosszul telepített banki au- 
tomatáknál. Utána már a zsebtolvajnak 
az adott PIN-hez tartozó kártyát kell 
csak ellopnia. 

pS/ip: A hagyományos lefogadás eszkö- 
Ze, az a többpéldányos papír, amelyre 
egy gyaluszerű eszközzel lehúzzák a 
kártya adatait hagyományos fizetéskor. 
Erre értelemszerűen csak a dombor- 
nyomásos kártyák alkalmasak. 
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IResearch-tanulmány 


Z informatikai szakemberek közül 
sokan ma is vitatják, hogy magas 
zintű védelmet csak információ- 


biztonságra szakosodott külső cég nyújt- 
hat-e, illetőleg a márkás eszközök maga- 
sabb szintű védelmet biztosítanak-e, mint 
a noname termékek. 


Fenyegetett világ 


Az Egyesült Államokat tavaly szeptem- 
berben ért terrortámadás tovább fokozta a 
civilizált világ már korábban is meglévő 
félelmeit: a gyűlölet a rombolás olyan 
módszereit képes létrehozni, amelyek el- 
len majdhogynem lehetetlen a tökéletes 
védekezés. De nem csupán eltérített utas- 
szállító gépekkel, bombákkal vagy lépfene 
baktériumokkal lehet komoly csapást mér- 
ni valamely közösségre. A fejlett országok 
védelmi, kommunikációs és pénzügyi 
rendszere ma már olyan mértékben infor- 
matikai alapokon nyugszik, hogy a számí- 
tógépes terrorizmus hasonló méretű káro- 
kat tud okozni, mint a fizikai erőszak. 

A vállalatoknál felhalmozott, egyre nö- 
vekvő mennyiségű ügyfél-információ ille- 
téktelen kezekbe kerülése a bizalom el- 
vesztését, végső soron a cég fennmaradá- 
sát veszélyezteti. Az internet elterjedése az 
utóbbi években tovább növelte a biztonsá- 
gi kockázatokat. Ha egy cégnek nincs vé- 
delmi stratégiája a webhelyére vagy háló- 
zatába behatoló hackerek ellen, nem tud 
gyorsan és megfelelően reagálni a táma- 
dásra. A legnagyobb problémát az okozza, 
hogy a biztonságra a szükségesnél keve- 
sebb pénzt fordítanak, mert az informati- 
kai rendszereket pénznyelőknek tekintik, 
amelyek nem termelnek profitot. A beha- 
tolási lehetőségek felfedése és megszünte- 
tése drága mulatság, de elengedhetetlenül 
szükséges a kockázat csökkentése és így a 
veszteségek elkerülése érdekében. 

Naponta hallani hacker-akciókról, szol- 
gáltatásbénító támadásokról, de sok cég- 
nél még mindig úgy gondolják, ez mások 
problémája, velük ilyesmi nem fordulhat 
elő, mert megvásárolták a szükséges vé- 
delmi eszközöket. Ez azonban még nem 
minden: a rendszergazdának tudnia kell 
kezelni ezeket az eszközöket, a munkatár- 
saknak pedig meg kell érteniük, hogy mi- 
ért van szükség a biztonsági előírásokra. 

A sikeres támadások nagy része olyan 
hálózatok, számítógépek ellen irányul, 
amelyeket felszereltek tűzfallal és más vé- 
delemmel. Hogy miért lehetett akkor még- 
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Hazai 


IT-biztonság 


Minden ötödik megkérdezett magyarországi céget ért már 


közvetlen anyagi kár az IT-biztonsági hiányosságok miatt, az 


elmúlt két évben. Ennek ellenére az adatbiztonság kérdését 


a vállalatvezetők csak közepes fontosságúnak tekintik, 


állapítja meg a BellResearch tanulmánya. 


100-249 tős 


250-493 fős 


5004 fős 


a 


sCégvezetés műzleti partnerek, ügyfelek 


Milyen fontosságú kérdésként kezeli az Önök cégvezetése az IT-biztonságot? Mennyire 
fontos üzleti partnereik, ügyfeleik számára az Önök cégének IT-biztonsága (az adatok vé- 
delme és a rendszerek zavartalan működése)? (1: egyáltalán nem fontos, 5: nagyon fon- 


tos; 414 válaszadó). 
Forrás: BellResearch 2002 


is eredményes a támadás? Mert a rendszer- 
gazdák nem vették a fáradságot, hogy be- 
tömjék a biztonsági lyukakat, így a behato- 
lás nem valami zseni bravúros manővere 
volt, hanem egyszerű mulasztás következ- 
ménye. Hiába telepítünk mégoly hatékony 
tűzfalat is, ha nemtörődömségből vagy 
hozzáértés híján rosszul konfiguráljuk. 
Hasonlóképpen lényeges a munkatársak 
megfelelő tájékoztatása. Az e-mail mellék- 
letek kiterjesztéséből könnyedén megálla- 
pítható, hogy egy programot (azaz egy po- 
tenciális vírust) vagy csak egy közönséges 
képet küldtek-e nekünk, aki azonban 
nincs tisztában a számítógép-kezelés és a 


biztonsági veszélyek alapjaival, egy rossz 
mozdulattal pillanatok alatt megfertőzheti 
gépét. 

Mint az elmondottakból is kitűnik, a 
megfelelő védelem kialakítása több ténye- 
zőtől függ: a vállalatvezetésnek fel kell is- 
mernie a veszély jelentőségét, és elegendő 
pénzt kell szánnia a biztonsági eszközök- 
re, a kellő szakismerettel rendelkező rend- 
szergazdákra és a munkatársak biztonság- 
technikai képzésére. Szükséges továbbá 
egy vállalati biztonságpolitika kialakítása 
és — annak szigorú betartatása. A 
Bellgesearch piackutató cég IT-biztonság 
iránti attitűd és biztonságtechnikai megol- 
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új, biztonsági megoldások jelennek meg 
3 cégeknél felértékelődik az információbiztonság 
az Önök cégénél felértékelődik az információbizton 
a támadások egyre veszélyesebbé válnak 
IT-biztonsági döntések szakmai alapon születnek 
növekednek az információbiztonsági támadások 
magas szintű védelmet csak speciális cég nyújthat 


a márkás eszközök fokozottabb védelmet nyújtanak 


1 


5 


Az információbiztonsághoz fűződő attitűd és védelem megítélése (1: egyáltalán nem ért 


egyet, 5: teljes mértékben egyetért; 414 válaszadó) 


Forrás: BellResearch 2002 


dások című tanulmánya, amelyből az 
alábbiakban közlünk részleteket, az IT- 
biztonság jelenlegi magyarországi állapo- 
táról ad képet. 


Honi helyzet 


Az elmúlt két évben a magyarországi cé- 
gek közel 20 százalékát érte valamilyen 
közvetlen anyagi kár különféle informá- 
cióbiztonsági problémák miatt, azonban 
az IT vezetők megítélése szerint az infor- 
matikai adatbiztonságot mind a cég veze- 
tése, mind az üzleti partnerek csak köze- 
pes prioritású feladatként kezelik. A 
Bellgesearch telefonos felmérése során 
megkérdezett több mint 400 cég informa- 
tikai szakemberei az ötfokú skálán jellem- 
zően 3 és 4 közötti pontszámokat adtak az 
IT-biztonság általuk megítélt fontosságára 
saját cégüknél. Az IT-biztonság iránti elkö- 
telezettség a cégmérettel egyenes arány- 
ban növekszik: az 500 főnél többet foglal- 
koztató vállalatok esetében mind a válla- 
latvezetés, mind az üzleti partnerek hatá- 
rozottan fontosabbnak ítélték a kérdést. 

A Bellgesearch tanulmánya alapján egy- 
értelműen kimutatható az a tendencia, 
hogy a vállalatoknál új, egyre kiforrottabb 
biztonsági megoldások jelennek meg (4,01) 
és a cégeknél általában felértékelődik az in- 
formációbiztonság (3,99). Ezzel szemben 
ellentmondásos annak a megítélése, hogy 
magas szintű védelmet csak információbiz- 
tonságra szakosodott külső cég nyújthat-e 
(3,28), illetve a neves gyártók eszközei ha- 
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tékonyabb védelmet biztosítanak-e, mint a 
noname termékek (3,04). Külső szakértőkre 
az 500 főnél többet foglalkozató vállalatok 
szorulnak legkevésbé (3,12-es részátlag, 
szemben a 3,28-as főátlaggal), amelynek 
oka a Bellgesearch elemzői szerint elsősor- 
ban abban keresendő, hogy a nagyobb cé- 
geknél házon belül nagyobb arányban fog- 
lalkoztatnak információbiztonságra szako- 
sodott munkatársakat. E vállalatok 36 szá- 
zaléka alkalmaz saját biztonsági szakembe- 
reket, míg a 100-249 fős vállalatoknak csu- 
pán a 22 százalékáról, a 250-499 fős cé- 
geknek pedig csak a 27 százalékáról mond- 
ható el ugyanez. 


Kutatási módszer 


A biztonsági kérdések világszintű felér- 
tékelődése ellenére mindeddig nem szüle- 
tett olyan elemzés Magyarországon, amely 
a hazai cégek felkészültségét, információ- 
biztonsági tudatosságát, a vállalatvezetés 
hozzáállását és értékrendjét vizsgálta vol- 
na, nem is szólva a biztonsági termékek és 
szolgáltatások iránti igény számszerűsíté- 
séről. Ezt a hiányt pótolja a BellResearch 
tanulmánya, amely a vállalatok informati- 
kai biztonsághoz fűződő hozzáállásán, 
megoldásaik fejlettségén, külső tanácsadói 
szolgáltatások iránti igényén és IT- 
biztonsági megoldásokba való beruházási 
hajlandóságukon keresztül mutatja be a 
keresleti piac érettségét és fejlődési poten- 
ciálját — kvantitatív, statisztikailag megbíz- 
ható adatokra alapozva. 


A kutatás célcsoportját a 100 főnél több 
munkatársat alkalmazó, internet- 
hozzáféréssel és legalább 20 számítógép- 
pel rendelkező közép- és nagyvállalatok al- 
kották. A megkérdezett 414 vállalat közül 
196-ben 100-249, 111-ben 250-499, 105- 
ben pedig 500-nál több alkalmazottat fog- 
lalkoztatnak. A cégek tevékenység és regio- 
nális ágazat szerint reprezentálják a célcso- 
portot. Az adatgyűjtés telefonos interjúval 
történt a Bellgesearch call centerében, 
2001. október 29. és november 16. között; 
az interjúk átlagos hossza hozzávetőlege- 
sen 20 perc volt. Az interjúalanyok a cége- 
ken belül az informatikai (biztonságtechni- 
kai) kérdésekben döntéshozatali jogkörrel 
rendelkező vállalati vezetők voltak. 

A  Bellgesearch — (www.bellresearch. 
com) magyar szakmai befektetők tulajdo- 
nában lévő, független piackutató és ta- 
nácsadó cég, amelyet a telekommuniká- 
ció, az informatika és az internetgazdaság 
területén vezető szerepet betöltő vállala- 
tok marketinginformációs igényeinek ki- 
elégítésére hoztak létre. M. Cs. 
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Java 2 Platform, Micro Edition 


A vállalatok és magánszemé- 
lyek egyre több bizalmas 
adatot tárolnak a számítógé- 
peiken, ezért egyre nagyobb 
hangsúlyt kap az informati- 
kai biztonság. Az asztali gé- 
pek, notebookok, PDA-k 
után a mobiltelefonokat is el- 
érte az internet, így azok 
adatvédelme is fontos szem- 


pont ma már. 


A Sun a mobil 
eszközökre is 
kiterjesztette 
a Java prog- 
ramozási kör- 
nyezet alkal- 
mazhatóságát 


JAVÁASoOlt biztonság 


Z internet és az internet-alapú al- 
Asz elterjedése miatt a vál- 

lalati folyamatok egyre jelentősebb 
része zajlik internetes felületen, és így 
azok fokozottan ki vannak téve a különféle 
támadásoknak. Az informatika fejlődésé- 
vel az adatok nemcsak a jogos felhaszná- 
lók számára válnak egyre értékesebbé, ha- 
nem a konkurencia, a hackerek és más il- 
legális behatolók számára is. 

Természetesen vannak olyan intézmé- 
nyek, amelyeknél az adatvédelem hagyo- 
mányosan már most is nagy hangsúlyt kap 
— ilyenek a kormányzati, a nemzetbizton- 
sági és katonai szervek, a pénzügyi szerve- 
zetek — ezeknél azonban a védekezés el- 
sősorban azon alapul, hogy rendszereik 
nem kapcsolódnak a nyilvánosan elérhető 
hálózatokhoz. S mivel jelenleg a vírusok 
jelentős részét PC-s környezetre írják, azok 
elsősorban ilyen környezetben jelentenek 
veszélyt, Javás környezetben sokkal kevés- 
bé. 

Ugyancsak napról-napra nő az igény, 
hogy a tavaly tapasztalt számítógépes kór- 
okozók (Code Red, Nimda és Gonen 
gyors és igen széleskörű elterjedését egyre 
hatékonyabban ki tudja küszöbölni a cég 
számítógépes rendszere. Egyes becslések 
szerint csak a Code Red vírus mintegy 2 
milliárd dolláros kárt okozott a világ infor- 
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Java" 2 Platform Micro Edítion, Wireless Toolkít 


TENENMEEZ TETTEST ZEGÉSZ VE TSKESET ZOVEEJETŐSI 


THE SOURCE FOR JAVA TECHNOL 


tal, hogy biztonságot nyújt 
az egész hálózaton, ideális 
az olyan alkalmazások ese- 
tében is, amelyek emeltszin- 
tű biztonságot követelnek 
meg, mint amilyen például 
az elektronikus kereskede- 
lem vagy az internetes banki 
szolgáltatások. A Java prog- 
ramozási nyelv ,írd meg 
egyszer, és futtasd bárhol" 
tulajdonságának . köszönhe- 
tően az alkalmazások egyet- 
len környezetben fejleszthe- 


Jáva. $un.i 


A JZ2ME Wireless Toolkit segítségével a mobiltelefonokra 
és PDA-kra fejleszthetünk alkalmazásokat 


matikai rendszereiben. A hálózaton terje- 
dő számítógépes kórokozók 2000-ben 
mintegy háromszor annyi fertőzést okoz- 
tak, mint 1995-ben és 96-ban együttesen. 
Ennek megfelelően a vállalatoknak foko- 
zott figyelmet kell fordítaniuk az internetes 
biztonságpolitikára. 


Új fejezet a biztonságban 


A Java technológia, a Sun Microsystems 
internetes programozási környezete és 
nyelve jelenleg az egyik legelterjedtebb, 
valóban platformfüggetlen és biztonságos 
internetes programozási nyelv. A Java azál- 


tők, majd tetszőleges platfor- 
mon futtathatók, időt és 
pénzt takarítva meg minden 
cég, intézmény számára. 

Becslések szerint jelenleg a világon 
mintegy 7 millió weboldal használja a Ja- 
va programnyelvet, és további sok millió 
vezeték nélküli kommunikációs eszköz- 
ben használják fel folyamatosan a Java 
programnyelven írt fejlesztéseket, alkalma- 
zásokat. 


Java a mobilokban 


A mobilkészülék-gyártók, a mobilszol- 
gáltatók, valamint az érvényes tendencia 
szerint a mobilkészülékek piacán már 
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segít a műszaki architektúra 
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egyesítésében, a háttérszer- 
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ÚL garbage collections (0 byres collected) 


81164 bytecodes executed 
16 thresd svitches 

399 elssses in the system (including system classes) 
LL dmamic objects allocated (56832 bytes) 


A Wireless Toolkit különféle mobiltelefonok emulációját 


is tartalmazza 


nem az új előfizetők toborzása, hanem a 
meglévő készülékek cseréje és a hozzá- 
adott értékű szolgáltatások növelik a bevé- 
teleket. 2002-től kezdődően az értéknö- 
velt, azaz új alkalmazásokat és szolgálta- 
tásokat nyújtó készülékek fogják kitenni a 
piac egyre nagyobb hányadát. Ennek alap- 
vető eszköze a Java környezet alkalmazá- 
sa. 

A Java által kínált nyílt környezet lehető- 
vé teszi, hogy a külső fejlesztésű alkalma- 
zásokat folyamatosan letölthessük a mo- 
biltelefonra, újabb és újabb alkalmazáso- 
kat telepíthessünk a mobilkészülék teljes 
élettartama során, nemcsak a kezdeti vá- 
sárláskor. 

A mobilszolgáltatók számára az alkal- 
mazás-letöltés várhatóan emeli majd a for- 
galmat, valamint új bevételi lehetőségeket 
nyit: díj megfizetése ellenében új szolgál- 
tatásokat vezethetnek be, vagy rendelke- 
zésre bocsáthatnak letölthető 
tartalmakat, például játéko- 
kat. 

A Sun Microsystems nem- 


(Toral heap size 500000 bytes (currently 473920 bytes freejfxecution completed mecessfully 


verektől egészen a kis készü- 
lékekig. Elemzői becslések 
szerint 2006 végére több 
mint egymilliárd Java-alapú 
kézi készülék lesz forgalom- 
ban. 

A Java 2 Platform, Micro 
Edition (JZME) a Java plat- 
formnak az a része, amely a 
mobil, kézi eszközök, úgy- 
mint mobiltelefonok, szemé- 
lyes digitális asszisztensek és 
személyhívók, autóba épített 
rendszerek és smartcardok 
egyre szélesebb körének az 
igényeit célozza meg. 

Az iparág olyan óriásai 
használják és terjesztik a Ja- 
va platformot, mint az IBM, 
az Oracle, az SAP, a Sony, a Motorola, a 
Nokia, a HP, az Ericsson, a Philips vagy a 
Matsushita. Más világcégek, mint a Palm, 
a BEA vagy a Cisco aktívan közreműköd- 
nek a Java terjesztésében. 


Az első fecskék 


A Java technológiákban rejlő ígéretes le- 
hetőségekre építve a Sun Microsystems 
Inc, a Nextel Communications, Inc. és a 
Motorola, Inc. bevezette az első Java tech- 
nológiával működtetett telefonokat és 
szolgáltatásokat. 

A Motorola i85s és i50sx készülékek Ja- 
va technológiát tartalmaznak, amely lehe- 
tővé teszi a személyre szabott és interaktív 
szolgáltatások bevezetését. Az új Motorola 
telefonok kezdeti szolgáltatásai között sze- 
repelnek például a specializált üzleti szá- 
mológépek vagy a költségjelentés-készítő 


régiben jelentette be az ipar- 
ág első kezdeményezését ar- 
ra nézve, hogy a webes szol- 
gáltatások szabványai mobil 
és kisméretű kliensberende- 
zésekre, például mobiltelefo- 
nokra, PDA-kra, set-top ké- 
szülékekre, autós rendsze- 
rekre és otthoni internetes 
eszközökre is eljussanak. Az 


új szolgáltatás a Java 2 Plat- 
form, Micro Edition-re építve 
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A demók segítségével ellenőrizhetjük, hogyan fest majd a 
Java alkalmazás a mobilon 


A Java előnyei 


A Java technológiák számos előnyt 
kínálnak a vezeték nélküli szolgáltatá- 
sok támogatása terén: 

p Az alkalmazások betöltése igény sze- 
rint történik. A felhasználó dönthet 
úgy is, hogy igény szerint tölti le az 
alkalmazásokat ahelyett, hogy az esz- 
köz gyártója által előre telepített al- 
kalmazásokkal feltöltött készüléket 
vásárolna. Ez segít megőrizni a fel- 
használó vezeték nélküli eszközzel 
kapcsolatos befektetésének értékét, 
és lehetővé teszi a szolgáltató szá- 
mára, hogy javítsa és bővítse szol- 
gáltatás-kínálatát. 

p A Java technológiákhoz olyan könyv- 
tárak tartoznak, amelyek az alkalma- 
zásfejlesztő számára lehetővé teszik 
a gazdagabb, intuitívabb grafikus fel- 
használói felületek kialakítását. Ezál- 
tal a szolgáltatók személyre szabott 
és vonzó alkalmazásokat és szolgál- 
tatásokat  kínálhatnak, miközben 
azok használatát is megkönnyítik. 

z A Java technológia lehetővé teszi a 
hálózati sávszélesség intelligensebb 
kihasználását (például GPRS), mivel 
az alkalmazások letöltődnek a készü- 
lékekre és ott kerülnek felhasználás- 
ra. A hálózatra csak akkor kell felkap- 
csolódni, ha adatokra van szükség a 
szerverről. 

p A Java technológia a vezeték nélküli 
eszközökön teljesen új fejlesztői 
platformot hoz létre, amely többféle 
készüléktípust és rendszerek közötti 
platformokat fog át. A hálózati inf- 
rastruktúrában a Java platform ro- 
busztus végpontok közötti megol- 
dást képvisel, amely lehetővé teszi a 
fejlesztők számára, hogy ugyanazo- 
kat az eszközöket és ismereteket 
használják új szolgáltatások fejlesz- 
tésében és bevezetésében. 


szoftver. A most rendelkezésre álló szol- 
gáltatásokon kívül még számos további al- 
kalmazás fejlesztése is folyamatban van. 

A Sony Ericsson is a Java technológiára 
vonatkozó licencszerződést írt alá a Sun 
Microsystems-szel, mivel a játékok és a 
szórakoztató — szolgáltatások a Sony 
Ericsson termékstratégiájának alapvető ré- 
szét képezik. A Java kulcsfontosságú része 
a multimédiás kommunikációs alkalmazá- 
sok fejlesztésének. 

Gy.L. 
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Jírus tesztlabor 


Valaki mondja meg! 


Özönlenek a vírusok, és mostanáig egész Magyarországon 


nem létezett olyan tesztlabor, amely naprakész és hiteles 


információt adhatott volna a vírusokról és a vírusellenes 


szoftverekről. Áprilisban a veszprémi Veszprog Kft. elindítot- 


ta a gyártóktól és forgalmazóktól független víruslaborját. 


Dr. Leitold Ferenc által vezetett 
Ass Kft. 1997 februárjában 

alakult. Kizárólag magyarországi 
magánszemélyekből álló társaságról van 
szó, amely főként szoftverfejlesztéssel, va- 
lamint szoftverek, szoftverrendszerek mi- 
nőségbiztosításával foglalkozik. 

A Veszprog szakemberei a Checkvir 
projekt keretében még 2000-ben kezdték 
el az antivírus tesztelési problémák megol- 
dását segítő automatikus, illetve félauto- 
matikus eljárásokat fejleszteni. 

2002. márciusában hirdették meg, s áp- 
rilisban indították el a Magyarországon új- 
donságnak — számító tesztsorozatukat, 
amely az antivírus termékek korábban pél- 
dátlan mélységű vizsgálatát ígéri. 

A havonta ismétlődő vizsgálatokat az 
alábbi platformokon végzik a tesztlabor- 
ban: MS-DOS 6.22, Windows 95/98/ME, 
Windows NT Workstation és Server, Win- 
dows 2000 Server és Professional, Novell 
Netware 5.0, 5.5 és 6.0, valamint Linux. 

A tesztelésre korszerű, P IV/2000 pro- 
cesszoros, 512 Mbájt memóriával, CD- 
vel, merevlemezzel, hálózati adapterrel 
ellátott számítógépeket használnak, ame- 
lyek szigorúan zárt rendszert alkotnak. A 
vizsgálatokhoz felhasznált vírusok te- 
nyésztését (egy-egy tesztre több százezer 
vírust kell előkészíteni vírusonként több 
ezres darabszámban!) egy speciális, saját 
fejlesztésű és szigorúan ellenőrzött, nap- 
lózott, így valóban reprodukálható és hi- 
teles — Debian Linux alapú — rendszerben 
végzik. 

A Checkvir projekt alapvető célja, hogy 
az antivírus fejlesztőktől függetlenül tesz- 
teljen antivírus szoftvereket és megoldáso- 
kat, egyaránt segítve a felhasználókat és az 
antivírus fejlesztő cégeket. A rendszeres 


JI eevsamutornanorámaán 


A víruslabor gépei napi 24 órában dolgoz- 
nak 


antivírus teszteket a megadott alapelvek 
alapján, a 2002 évi tesztelési tervekben 
meghatározott ütemterv szerint végzik. Az 
aktuális hónap tesztjeinek lezárását köve- 
tően a tesztelések havi eredményei 2002. 
április  30-tól mind megtalálhatók a 
www.checkvir.hu weboldalon. 

Az előzetes tesztek fő célja a vírusirtási 
lehetőségek tesztelése és elemzése volt. 
Az antivírus termékek keresési lehetősége- 
inek ellenőrzése a naplófájlok elemzésé- 
vel egyszerűen megoldható. Az előzetes 
teszt során az antivírus termékek on- 
demand keresésének tesztelését célozzák 
meg a víruskeresés és eltávolítás esetén. A 
naplófájl alapján az alábbi összesített in- 
formációkat ellenőrzik: az ellenőrzött fáj- 
lok számát, a fertőzött fájlok számát, a 
gyanús fájlok számát és a vírusmentesített 
fájlok számát. 

Ezt követően a vírusmentesített fájlokat 
ellenőrzik, és egy intelligens összehasonlí- 
tó segédprogram segítségével összevetik 
azokat az eredeti, vírusfertőzés előtti fáj- 
lokkal. Bármiféle változás a fájlokban nap- 
lózásra kerül, és további elemzések, vizs- 
gálatok tárgya lesz. 

A tényleges tesztek a következőkre ter- 


jednek ki: vírusfelismerés, vírusirtás, hiba- 
kezelés, helyreállítás, problémás esetek. Az 
egyes antivírus szoftvereket a tesztelendő 
vírusok kisebb (kb. 700 ezer — 1 millió fer- 
tőzött állomány) csoportjával ellenőrzik. A 
teszteléssel kapcsolatban az egyik legfonto- 
sabb elvárás, hogy minden tesztpont repro- 
dukálható legyen. Akkor és csak akkor je- 
leznek egy problémát vagy hibát, ha azt eg- 
zakt módon meghatározható lépések soro- 
zatával ismételten elő lehet idézni. 

Tesztjeikben határozottan megkülön- 
böztetik a problémát és a hibát. A problé- 
ma azt jelenti, hogy egy új szolgáltatást, 
lehetőséget kellene kialakítani a tesztelt 
termékben (például az antivírus szoftver 
nem talál meg egy konkrét vírust vagy 
nem tudja azt eltávolítani), a hiba pedig 
azt jelenti, hogy a tesztelt antivírus szoft- 
ver nem megfelelően viselkedik (például 
azt jelzi a felhasználónak, hogy egy bizo- 
nyos vírust eltávolított, de a megtisztított 
programot nem lehet elindítani). Az alkal- 
mazott tesztelési eljárások legfőbb célja, 
hogy radikálisan csökkentsék az antivírus 
termékek hibáinak és problémáinak szá- 
mát. 

A teszteket a CheckVir laborba hivatalo- 
san beküldött (általában 10-15) program- 
csomaggal végzik, a teszteredményeket a 
beküldők megkapják, s így javíthatnak ter- 
mékeik esetlegesen felfedezett hiányossá- 
gain. Az eredmények publikusak, azaz 
nem csupán a programok beküldői, de 
bárki letöltheti ingyen és bérmentve azo- 
kat, s felhasználhatja annak eldöntésére, 
hogy milyen irányban fejleszti számítógé- 
peit, informatikai rendszerét. 

dr. Nagy Gábor 


EZE az EE 


A tenyésztő rendszer Debian Linux alatt 
működik 


Adatbiztonság 2002 


mennyire is bizt 


csak egy hacke 


(...de Ont nem ér 


sa könyvünket.) 


A Hacker kézikönyv talán befolyásolni fogja a biztonságérzet- 
ét és a magatartását is. Bepillantást nyerhet ugyanis a színfalak 
mögé, gondolkodásmódokat és stratégiákat ismerhet meg. Olya- 
nokat, amelyek talán kamaszosak, ettől azonban nem kevésbé 
veszélyesek. És azt is meg fogja tudni, hogy a legveszélyesebb 
dolgok nem igényelnek különösebb tudást — egy makrovírust 
valójában mindenki meg tud írni. 


Az előzmény 


A Hacker kézikön) 
a területen, és jól ismeri a dolgok menetét. Egy német nagy- 
bankba történt látványos betörés tette ismertté a nevét, amely- 


zerzője éveken át tevékenykedett ezen 


nek során másfélmillió ügyféladatot kémleltek ki. ,Egy pár 
számlát leüríthettünk és leléphettünk volna", — mondta a team 
egyik tagja. Ehelyett nyilvánosságra hozták a támadást, és ezál- 
tal új jelentőséget nyert az online banki szolgáltatás témája. 


Élesben tesztelve! 


A számítógépek és a hálózatok megtámadásának itt bemuta- 
tott módjai a gyakorlatban többszörösen kipróbáltak. Ebből a 
könyvből sokat meg fog tudni résekről és lyukakról, sőt, a végén 
még akár egy makrovírust is tud majd írni. A szerző és a szer- 
kesztők, akik hónapokon keresztül foglalkoztak a könyvvel, már 
egy új képernyőkímélőt sem töltenek le, és persze ismeretlen 
feladók csatolt fájljait sem nyitják meg. 


A könyv 


Ez a könyv helyenként olvasható krimiként, de semmi esetre 
sem regény. Esetenként technikai alapismeretekkel és programkó- 
dokkal fog szembesülni — mindkettőnek megvan a maga értelme. 
Ha eddig nem is érdeklődött a TCP/IP iránt, akkor is tudnia kell, 
milyen támadási lehetőségeket kínál ez a protokoll. A program- 
kódok nem az Ön elrettentésére szolgálnak, hanem többnyire 


kommentárként. Egy vírust, mint amilyen az ILOVEYOU, a sze- 
me láttára boncol fel alkotórészeire, és magyaráz el a szerző. Ez 
jelentősen megkönnyíti a kockázatok felmérését. 


CD-melléklettel 


Könyvünk persze arról gondoskodik, hogy Ön egy pillanatra 
se maradjon védelem nélkül. Éppen ezért a CD-mellékleten re- 
mek vírusirtó programokat, tűzfalakat, bináris szerkesztőket kí- 
nálunk. 


Nincs postaköltség! 


Önnek nem kell sem posta-, sem csomagolási költséget fizet- 
nie! Így nem kell könyvesboltokba mennie, ezzel időt, benzin- 
és parkolási költséget takarít meg. A könyv ára mindössze 4990 
Ft, amelyet az újságban található csekkel fizethet be. Ez az aján- 


latunk korlátozott ideig, az december 31-ig befizetett megren- 
delésekre érvényes! Utána a megrendeléseket csak postai díj fel- 
számításával áll módunkban elfogadni! 
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